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本 书 全 面 而 详细 地 介绍 现代 密码 学 的 理论 和 相关 算法 ,可 帮助 读者 将 所 学 知识 应 用 于 信息 安全 实 
践 。 全 书 共 分 10 章 , 内 容 包 括 现代 密码 学 的 基本 概念 、 流 密码 、 分 组 密码 , 公 钥 密码 、 密 钥 分 配 与 密 钥 管 
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教师 在 教学 过 程 中 的 实施 ,同时 还 注意 与 其 他 专业 课 教学 的 衔接 。 本 书 取材 新 颖 ,不 仅 介绍 现代 密码 学 
所 涉及 的 基础 理论 和 实用 算法 ,而且 涵 盖 了 现代 密码 学 的 最 新 研究 成 果 ,力求 使 读者 通过 本 书 的 学 习 而 
了 解 本 学 科 最 新 的 发 展 方向 。 
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出 版 资 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 商业 公安、 军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 ,通信 物理、 数学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 系 
列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诺 、 又 在 教学 第 一 线 有 丰富 
的 教学 经 验 的 学 者 、 专 家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

@ 体系 完整 结构 合理 、 内 容 先 进 。 

@ 适应 面 广 :能 够 满足 信息 安全 、 计 算 机 ,通信 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 效 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 系列 教材 中 ,以 进一步 
满足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 
年 初 正 式 列 和 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 


IE 现代 密码 学 (第 4 版 ) Eeesssssa 


暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 "成立 。 经 组 织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务院 学 位 委员 会 教育 部 出 台 增 设 “ 网 络 空 间 安 全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空 间 安 全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信 办 ) 、 国 家 发 展 和 改革 委员 会 教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 ( 关 于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》( 中 网 办 发 文 [2016]4 号 ) 。 为 贯彻 落实 4 关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 
培养 ,促进 网 络 空 间 安 全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 信息 安全 专业 教学 
指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 的 工作 ,由 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 从 书 基于 “高 等 院 校 信息 安全 专业 系列 教材 ”坚实 的 工 
作 基 础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 "“ 普 通 高 等 教育 精品 
教材 "“ 中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书” 将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教材 建设 ,学术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 


当今 世界 ,互联 网 深刻 改变 了 人 们 的 生产 和 生活 方式 ,但 我 们 在 网 络 安 
全 方面 却 面临 着 严峻 挑战 。 从 宏观 上 说 ,网 络 安全 是 事 关 国家 安全 的 重大 战 
略 问题 一 一 没有 网 络 安全 就 没有 国家 安全 ;从 微观 上 看 ,网 络 安全 关乎 我 们 
每 个 人 的 信息 安全 。 网 络 安全 指 网 络 系统 中 硬件 .软件 及 其 系统 中 的 数据 安 
全 。 从 本 质 上 说 ,网 络 安全 就 是 网 络 上 的 信息 安全 。 

信息 安全 又 分 为 系统 安全 (包括 操作 系统 的 安全 、 数 据 库 系统 的 安全 
等 ) ,数据 安全 (包括 数据 的 安全 存储 、 安 全 传输 ) 和 内 容 安全 (包括 病毒 的 防 
护 、 不 良 内 容 的 过 滤 等 )3 个 层次 ,是 一 个 综合 、 交 又 的 学 科 领 域 ,要 利用 数 
学 电子、 人 信息、 通信、 计算 机 等 诸多 学 科 的 长 期 知识 积累 和 最 新 发 展 成 果 。 
信息 安全 研究 的 内 容 很 多 ,涉及 安全 体系 结构 、 安 全 协议 .密码 理论 、 信 息 分 
析 、 安 全 监控 ,应 急 处 理 等 ,其 中 密码 技术 是 保障 数据 安全 的 关键 技术 。 

密码 技术 中 的 加 密 方法 包括 单 钥 密码 体制 (又 称 为 对 称 密码 体制 ) 和 公 
钥 密码 体制 ,而 单 钥 密 码 体制 又 包括 流 密 码 和 分 组 密码 。 本 书 在 第 1 章 介绍 
现代 密码 学 的 基本 概念 后 ,在 第 2 一 4 章 分 别 介 绍 流 密码 ,分 组 密码 、 公 钥 密 
码 。 不 管 哪 种 密码 体制 都 需要 用 到 密 钥 ,因此 密 钥 分 配 与 密 钥 管理 也 是 密码 
技术 的 重要 内 容 , 这 部 分 内 容 在 第 5 章 介绍 。 信 息 的 安全 性 除 要 考虑 保密 性 
外 ,还 需 考虑 信息 的 真实 性 ,完整 性 、 顺 序 性 \ 时 间 性 以 及 不 可 否认 性 。 本 书 
以 3 章 的 篇 幅 ( 第 6 章 消息 认证 和 哈 希 算法 、 第 7 章 数字 签字 和 认证 协议 .第 
8 章 密码 协议 ) 介 绍 这 部 分 内 容 。 第 9 章 可 证 明 安 全 介绍 如 何 刻画 公 钥 密码 
体制 的 语义 安全 性 。 第 10 章 网 络 加 密 与 认证 介绍 加 密 技 术 和 认证 技术 在 网 
络 中 的 具体 应 用 。 书 中 4.1.5 节 的 卡 米 歇 尔 定理 、4. 1. 11 节 循 环 群 、4. 1. 12 
节 循 环 群 的 选取 、8. 3 节 安 全 多 方 计算 协 议 、 第 9 章 可 证 明 安 全 供 研究 生 
使 用 。 

本 书 自 2003 年 8 月 第 1 版 以 来 ,已 被 150 余 所 学 校 作为 教材 , 曾 获 批 普 
通 高 等 教育 “十 一 五 ”国家 级 规划 教材 ,2016 年 获得 首届 国家 网 络 安 全 优秀 
教材 奖 。 第 4 版 在 第 3 版 的 基础 上 进行 修订 ,因为 内 容 陈 旧 而 去 掉 了 原 
5.3 节 ,重新 编写 了 第 9 章 ,增加 了 3.7 节 、3. 8 节 、6. 1.4 节 、6.6 节 和 
天生 前。 

本 书 的 特点 : 一 是 内 容 新 颖 、 深 入 、 全 面 ,涵盖 了 现代 密码 学 的 最 新 成 
果 ; 二 是 内 容 的 安排 充分 考虑 到 作为 教材 ,如 何方 便 地 在 教学 中 使 用 。 
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111 安全 威胁 


信息 在 社会 中 的 地 位 和 作用 越 来 越 重要 ,已 成 为 社会 发 展 的 重要 战略 资源 ,信息 技 
术 改 变 着 人 们 的 生活 和 工作 方式 ,信息 产业 已 成 为 新 的 经 济 增长 点 ,社会 的 信息 化 已 
成 为 当今 世界 发 展 的 潮流 和 核心 。 与 此 同时 信息 的 安全 问题 也 已 成 为 世人 关注 的 社 
会 问题 。 人 们 对 信息 安全 的 认识 随 着 网 络 的 发 展 经 历 了 以 下 一 个 由 简单 到 复杂 的 
过 程 。 

20 世纪 70 年 代 , 主 机 时 代 的 信息 安全 是 面向 单机 的 ,由 于 早期 的 用 户主 要 是 军 方 ， 
因此 在 安全 性 方面 主要 考虑 的 是 信息 的 保密 性 。 

20 世纪 80 年 代 , 微 机 和 局 域 网 的 兴起 带 来 了 信息 在 微机 间 的 传输 和 用 户 间 的 共享 
问题 ,丰富 了 信息 安全 的 内 涵 , 使 人 们 认识 到 数据 完整 性 、 可 用 性 的 重要 性 。 安 全 服务 、 安 
全 机 制 等 基本 框架 ,成 为 信息 安全 的 重要 内 容 。 

20 世纪 90 年 代 , 因 特 网 爆炸 性 的 发 展 把 人 类 带 进 了 一 个 新 的 生存 空间 。 因 特 网 具 
有 高 度 分 布 .边界 模 糊 、 层 次 欠 清 动态 演化 ,而 用 户 又 在 其 中 扮演 主角 的 特点 ,如 何 保证 
这 一 复杂 而 巨大 系统 的 安全 ,成 为 信息 安全 的 主要 问题 。 由 于 网 的 全 球 性 .开放 性 、 无 颖 
连通 性 ` 共 享 性 ,动态 性 发 展 ,使 得 任何 人 都 可 以 自由 地 接 人 ,其 中 有 善 者 ,也 有 恶 者 。 恶 

会 采用 各 种 攻击 手段 进行 破坏 活动 。 信 息 安全 面临 的 攻击 有 独立 的 犯罪 者 ,有 组 织 的 
犯罪 集团 和 国家 情报 机 构 。 对 信息 的 攻击 具有 以 下 新 特点 : 无 边界 性 、 突 发 性 , 草 延 性 和 
隐蔽 性 。 因 此 考虑 信息 安全 ,就 要 首先 知道 信息 安全 面临 哪些 威胁 。 

信息 安全 所 面临 的 威胁 来 自 很 多 方面 ,并 且 随 着 时 间 的 变化 而 变化 。 这 些 威胁 可 以 
宏观 地 分 为 人 为 威胁 和 自然 威胁 。 

自然 威胁 可 能 来 自 于 各 种 自然 灾害 、 恶 劣 的 场地 环境 .电磁 辐射 和 电磁 干扰 网 络 设 
备 自然 老化 等 。 这 些 无 目的 的 事件 ,有 时 会 直接 威胁 信息 的 安全 ,影响 信息 的 存储 介质 。 

我 们 主要 讨论 人 为 威胁 ,也 就 是 对 信息 的 人 为 攻击 。 这 些 攻击 手段 都 是 通过 寻找 系 
统 的 弱点 ,以 便 达 到 破坏 欺骗 窃取 数据 等 目的 ,造成 经 济 上 和 政治 上 不 可 估量 的 损失 。 
人 为 攻击 可 分 为 被 动 攻击 和 主动 攻击 ,如 图 1-1 所 示 。 


1. 被 动 攻击 
被 动 攻击 即 窃听 ,是 对 系统 的 保密 性 进行 攻击 ,如 搭 线 窃听 、 对 文件 或 程序 的 非法 复 
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图 1-1 攻击 类 型 分 类 


制 等 ,以 获取 他 人 的 信息 。 被动 攻击 又 分 为 两 类 : 一 类 是 获取 消息 的 内 容 , 很 容易 理解 
第 二 类 是 进行 业务 流 分 析 , 假 如 我 们 通过 某 种 手段 ,例如 加 密 ,使 得 敌手 从 截获 的 消息 无 
法 得 到 消息 的 真实 内 容 , 然 而 敌手 却 有 可 能 获得 消息 的 格式 ,确定 通信 双方 的 位 置 和 身份 
以 及 通信 的 次 数 和 消息 的 长 度 ,这 些 信息 可 能 对 通信 双方 来 说 是 敏感 的 ,例如 公司 间 的 合 
作 关 系 可 能 是 保密 的 、 电 子 邮 件 用 户 可 能 不 想 让 他 人 知道 自己 正在 和 谁 通信 、 电 子 现金 的 
支付 者 可 能 不 想 让 别人 知道 自己 正在 消费 、Web 浏览 器 用 户 也 可 能 不 愿意 让 别人 知道 自 
己 正在 浏览 哪 一 个 站 点 。 

被 动 攻击 因 不 对 消息 做 任何 修改 ,因而 是 难以 检测 的 ,所 以 抗击 这 种 攻击 的 重点 在 于 
预防 而 非 检测 。 


2 主动 攻击 

这 种 攻击 包括 对 数据 流 的 某 些 算 改 或 产生 某 些 假 的 数据 流 。 主 动 攻击 又 可 分 为 以 下 
3 类 ， 

(1) 中 断 。 中 断 是 对 系统 的 可 用 性 进行 攻击 ,如 破坏 计算 机 硬件 .网 络 或 文件 管理 

(2) 算 改 。 算 改 是 对 系统 的 完整 性 进行 攻击 ,如 修改 数据 文件 中 的 数据 、 替 换 某 一 程 
序 使 其 执行 不 同 的 功能 、 修 改 网 络 中 传送 的 消息 内 容 等 。 

(3) 伪造 。 伪 造 是 对 系统 的 真实 性 进行 攻击 ,如 在 网 络 中 插入 伪造 的 消息 或 在 文件 
中 插入 伪造 的 记录 。 

绝对 防止 主动 攻击 是 十 分 困难 的 ,因为 需要 随时 随地 对 通信 设备 和 通信 线路 进行 物 
理 保护 ,因此 抗击 主动 攻击 的 主要 途径 是 检测 ,以 及 对 此 攻击 造成 的 破坏 进行 恢复 。 


112 入 侵 者 和 病毒 


信息 安全 的 人 为 威胁 主要 来 自用 户 ( 恶 意 的 或 无 恶意 的 ) 和 恶意 软件 的 非法 侵入 ,入 
侵 信 息 系 统 的 用 户 也 称 为 黑客 ,黑客 可 能 是 某 个 无 恶意 的 人 ,其 目的 仅仅 是 破译 和 进入 一 
个 计算 机 系统 ;或 者 是 某 个 心怀 不 满 的 雇员 ,其 目的 是 对 计算 机 系统 实施 破坏 ;也 可 能 是 
一 个 犯罪 分 子 , 其 目的 是 非法 窃取 系统 资源 (如 窃取 信用 卡号 或 非法 资金 传送 ) ,对 数据 进 
行 未 授权 的 修改 或 破坏 计算 机 系统 。 

恶意 软件 指 病毒 .蠕虫 等 恶意 程序 ,分 为 两 类 (如 图 1-2 所 示 ): 一 类 需要 主 程序 , 另 
一 类 不 需要 。 前 者 是 某 个 程序 中 的 一 段 , 不 能 独立 于 实际 的 应 用 程序 或 系统 程序 ;后 者 是 
2 


能 被 操作 系统 调度 和 运行 的 独立 程序 。 




















需 主 程序 不 需 主 程序 


陷 站 | | 地名 特洛伊 | | 病毒 细菌 是 虫 
1-2 恶意 程序 分 类 


对 恶意 软件 也 可 根据 其 能 否 自我 复制 来 进行 分 类 。 不 能 自我 复制 的 是 程序 段 ,这 种 
程序 段 在 主 程序 被 调用 执行 时 就 可 激活 。 能 够 自我 复制 的 或 者 是 程序 段 (病毒 ) 或 者 是 独 
立 的 程序 (蠕虫 .细菌 等 ) , 当 这 种 程序 段 或 独立 的 程序 被 执行 时 ,可 能 复制 一 个 或 多 个 自 
己 的 副本 ,以 后 这 些 副 本 可 在 这 一 系统 或 其 他 系统 中 被 激活 。 以 上 仅 是 大 致 分 类 ,因为 罗 
辑 炸弹 或 特洛伊 木马 可 能 是 病毒 或 蠕虫 的 一 部 分 。 


113 安全 业务 
安全 防护 措施 也 称 为 安全 业务 ,有 以 下 5 种 


1. 保密 业务 

保护 数据 以 防 被 动 攻击 。 保 护 方式 可 根据 保护 范围 的 大 小 分 为 若干 级 ,其 中 最 高 级 
保护 可 在 一 定时 间 范 围 内 保护 两 个 用 户 之 间 传 输 的 所 有 数据 ,低级 保护 包括 对 单个 消息 
的 保护 或 对 一 个 消息 中 某 个 特定 域 的 保护 。 保 密 业 务 还 有 对 业务 流 实施 保密 ,防止 敌手 
进行 业务 流 分 析 以 获得 通信 的 信 源 、 信 宿 \ 次 数 、 消 息 长 度 和 其 他 信息 。 

2 认证 业务 

认证 业务 用 于 保证 通信 的 真实 性 。 在 单 向 通信 的 情况 下 ,认证 业务 的 功能 是 使 接收 
者 相信 消息 确实 是 由 它 自己 所 声称 的 那个 信 源 发 出 的 。 在 双向 通信 的 情况 下 ,如 计算 机 
终端 和 主机 的 连接 ,在 连接 开始 时 ,认证 服务 则 使 通信 双方 都 相信 对 方 是 真实 的 ( 即 的 确 
是 它 所 声称 的 实体 ) ;其 次 ,认证 业务 还 保证 通信 双方 的 通信 连接 不 能 被 第 三 方 介入 ,以 假 
冒 其 中 的 一 方 而 进行 非 授 权 的 传输 或 接收 。 


3. 完整 性 业务 

和 保密 业务 一 样 ,完整 性 业务 也 能 应 用 于 消息 流 、 单 个 消息 或 一 个 消息 的 某 一 选 定 
域 。 用 于 消息 流 的 完整 性 业务 的 目的 在 于 保证 所 接收 的 消息 未 经 复制 ,插入 、 算 改 、 重 排 
或 重 放 ,因而 是 和 所 发 出 的 消息 完全 一 样 的 ;这 种 服务 还 能 对 已 毁坏 的 数据 进行 恢复 ,所 
以 这 种 业务 主要 是 针对 对 消息 流 的 自 改 和 业务 拒绝 的 。 应 用 于 单个 消息 或 一 个 消息 某 一 
选 定 域 的 完整 性 业务 仅 用 来 防止 对 消息 的 算 改 。 
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4 不 可 否认 业务 

不 可 和 否认 业务 用 于 防止 通信 双方 中 的 某 一 方 对 所 传输 消息 的 否认 ,因此 ,一 个 消息 发 
出 后 ,接收 者 能 够 证 明 这 一 消息 的 确 是 由 通信 的 另 一 方 发 出 的 。 类 似 地 , 当 一 个 消息 被 接 
收 后 ,发 出 者 能 够 证 明 这 一 消息 的 确 已 被 通信 的 另 一 方 接收 了 。 

5. 访问 控制 

访问 控制 的 目标 是 防止 对 网 络 资源 的 非 授权 访问 ,控制 的 实现 方式 是 认证 , 即 检查 欲 
访问 某 一 资源 的 用 户 是 否 具 有 访问 权 。 


1.2 信息 安全 模型 





图 1-3 给 出 了 信息 安全 的 基本 模型 。 


可 信赖 的 第 三 方 
(例如 : 仲裁 者 、 秘 密 信息 发 布 者 ) 


消息 一 一 信道 [人 国 ”一 一 消息 








秘密 信息 一 一 一 一 秘密 信息 
人 | 用 户 
攻击 者 


图 1-3 信息 安全 的 基本 模型 


通信 双方 欲 传递 某 个 消息 , 需 通 过 以 下 方式 建立 一 个 逻辑 上 的 信息 通道 : 首先 在 网 
络 中 定义 从 发 方 到 收 方 的 一 个 路 由 ,然后 在 该 路 由 上 共同 执行 通信 协议 。 

如 果 需 要 保护 所 传 信息 以 防 敌 手 对 其 保密 性 .认证 性 等 构成 的 威胁 , 则 需要 考虑 通信 
的 安全 性 。 安 全 传输 技术 有 以 下 两 个 基本 成 分 : 

(1) 消息 的 安全 传输 : 包括 对 消息 的 加 密 和 认证 。 加 密 的 目的 是 将 消息 搞 乱 以 使 敌 
手 无 法 读 懂 , 认 证 的 目的 是 检查 发 送 者 的 身份 。 

(2) 通信 双方 共享 的 某 些 秘密 信息 ,如 加 密 密 钥 。 

为 获得 消息 的 安全 传输 ,可 能 还 需要 一 个 可 信 的 第 三 方 , 其 作用 可 能 是 负责 向 通信 双 
方 发 布 秘密 信息 或 者 在 通信 双方 有 争议 时 进行 仲裁 。 

安全 的 网 络 通信 必须 考虑 以 下 4 个 方面 : 

(1) 加 密 算 法 ; 

(2) 用 于 加 密 算法 的 秘密 信息 ; 

(3) 秘密 信息 的 分 布 和 共享 ; 

(4) 使 用 加 密 算法 和 秘密 信息 以 获得 安全 服务 所 需 的 协议 。 


以 上 考虑 的 是 信息 安全 的 一 般 模 型 ,然而 还 有 其 他 一 些 情况 。 图 1-4 表示 保护 信息 
系统 以 防 未 授权 访问 的 一 个 模型 。 




















计算 机 资源 
(处 理 器 、 存储器、 1/0) 
数据 
(CCZZDZPZZTZZTZTT z zDD 程序 
攻击 者 访问 通道 软件 
人 (如 黑客 ) oF 内 部 安全 控制 
守卫 者 
软件 (如 病毒 、 蠕虫) 信息 系统 


1-4 信息 系统 的 保护 模型 


对 付 未 授权 访问 的 安全 机 制 可 分 为 两 道 防线 : 第 一 道 称 为 守卫 者 , 它 包 括 基 于 通行 
字 的 登录 程序 和 屏蔽 逻辑 程序 ,分 别 用 于 拒绝 非 授权 用 户 的 访问 、 检 测 和 拒绝 病毒 ;第 二 
道 防线 由 一 些 内 部 控制 部 件 构成 ,用 于 管理 系统 内 部 的 各 项 操作 和 分 析 所 存 有 的 信息 ,以 
检查 是 否 有 未 授权 的 人 侵 者 。 

上 面 介绍 了 信息 安全 面临 的 威胁 以 及 信息 安全 的 一 般 模 型 。 信 息 安全 又 分 为 系统 安 
全 (包括 操作 系统 的 安全 数据库 系 统 的 安全 等 ) ,数据 安全 (包括 数据 的 安全 存储 ,安全 传 
输 ) 和 内 容 安全 (包括 病毒 的 防护 不良 内 容 的 过 滤 等 )3 个 层次 ,是 一 个 综合 .交叉 的 学 科 
领域 ,要 利用 数学 .电子 信息、 通信 、 计 算 机 等 诸多 学 科 的 长 期 知识 积累 和 最 新 发 展 成 果 。 
信息 安全 研究 的 内 容 很 多 , 它 涉及 安全 体系 结构 、 安 全 协议 、 密 码 理论 、 信 息 分 析 、 安 全 监 
控 \ 应 急 处 理 等 ,其 中 密码 技术 是 保障 数据 安全 的 关键 技术 。 


1.3 密码 学 基本 概念 





13.1 保密 通信 系统 


通信 双方 采用 保密 通信 系统 可 以 隐 茂 和 保护 需要 发 送 的 消息 ,使 未 授权 者 不 能 提取 
信息 。 发 送 方 将 要 发 送 的 消息 称 为 明文 ,明文 被 变换 成 看 似 无 意义 的 随机 消息 , 称 为 密 
文 , 这 种 变换 过 程 称 为 加 密 ; 其 逆 过 程 , 即 由 密 文 恢 复出 原 明文 的 过 程 称 为 解密 。 对 明文 
进行 加 密 操作 的 人 员 称 作 加 密 员 或 密码 员 。 密 码 员 对 明文 进行 加 密 时 所 采用 的 一 组 规则 
称 为 加 密 算法 。 传 送 消息 的 预定 对 象 称 为 接收 者 ,接收 者 对 密 文 进行 解密 时 所 采用 的 一 
组 规则 称 为 解密 算法 。 加 密 算法 和 解密 算法 的 操作 通常 都 是 在 一 组 密 钥 控制 下 进行 的 ， 
分 别称 为 加 密 密 钥 和 解密 密 钥 。 传 统 密码 体制 所 用 的 加 密 密 钥 和 解密 密 钥 相同 ,或 实质 
上 等 同 , 即 从 一 个 易于 得 出 另 一 个 , 称 其 为 单 钥 密码 体制 或 对 称 密码 体制 。 若 加 密 密 钥 和 
解密 密 钥 不 相同 ,从 一 个 难以 推出 另 一 个 , 则 称 为 双 钥 密码 体制 或 非 对 称 密码 体制 。 密 钥 
是 密码 体制 安全 保密 的 关键 , 它 的 产生 和 管理 是 密码 学 中 的 重要 研究 课题 。 
在 信息 传输 和 处 理 系 统 中 ,除了 预定 的 接收 者 外 ,还 有 非 授 权 者 ,他 们 通过 各 种 办 法 
(如 措 线 窃听 电磁 窃听 .声音 窃听 等 ) 来 窃取 机 密 信息 , 称 其 为 截 收 者 。 截 收 者 虽然 不 知 
道 系统 所 用 的 密 钥 ,但 通过 分 析 可 能 从 截获 的 密 文 推断 出 原来 的 明文 或 密 钥 ,这 一 过 程 称 
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作 密 码 分 析 , 从 事 这 一 工作 的 人 称 作 密码 分 析 员 ,研究 如 何 从 密 文 推演 出 明文 、 密 钥 或 解 
密 算 法 的 学 问 称 作 密 码 分 析 学 。 对 一 个 保密 通信 系统 采取 截获 密 文 进行 分 析 的 攻击 称 作 
被 动 攻击 。 现 代 信 息 系统 还 可 能 遭受 的 另 一 类 攻击 是 主动 攻击 ,非法 入 侵 者 、 攻 击 者 或 黑 
客 主动 向 系统 帘 扰 ,采用 删除 、 增 添 、 重 放 、 伪 造 等 自 改 手段 向 系统 注入 假 消息 ,达到 利己 
害 人 的 目的 。 这 是 现代 信息 系统 中 更 为 棘手 的 问题 。 

保密 通信 系统 可 用 图 1-5 表示 , 它 由 以 下 几 部 分 组 成 : 明文 消息 空间 M, 密 文 消息 空 
间 C, 密 钥 空 间 K, 和 天。, 在 单 钥 体制 下 K, 一 天: 一 天 ,此 时 密 钥 K 需 经 安全 的 密 钥 信道 
由 发 送 方 传 给 接收 方 ; 加 密 变 换 Eu : M-~C, 其 中 心 EK: ,由 加 密 器 完成 ;解密 变换 Du : 
C>M, 其 中 EK ,由 解密 器 实现 。 称 总 体 (M,C, Ki,K,,Ex, ,Dx, ) 为 保密 通信 系统 。 
对 于 给 定 明文 消息 mE M, 密 钥 EK ,加密 变 换 将 明文 m 变换 为 密 文 c, 即 

c=fmh)=E(m) mEM,khEKR 
搭 线 信道 搭 线 信道 
主动 攻击 ) (被 动 攻击 )| 密 码 分 析 员 _" _ 
’ (窃听 者 ) 























售 源 密 解密 器 |_m 赚 收 者 
M = 3 m=D(e) i 


密 钥 源 | _ 密 钥 信道 “| 密 钥 源 
K, 









































图 1-5 保密 通信 系统 模型 


接收 方 利用 通过 安全 信道 送 来 的 密 钥 &( 单 钥 体 制 下 ) 或 用 本 地 密 钥 发 生 器 产生 的 解 
密 密 钥 k, E€ Ks( 双 钥 体 制 下 ) 控 制 解密 操作 DD, 对 收 到 的 密 文 进行 变换 得 到 恢复 的 明文 消 
息 , 即 

m= Due (c) MG M,k, ERK, 
而 密码 分 析 者 , 则 用 其 选 定 的 变换 函数 ,对 截获 的 密 文 c 进行 变换 ,得 到 的 明文 是 明文 
空间 中 的 某 个 元 素 , 即 
m = h(c) 

一 般 m' 关 m。 如 果 m' 二 m, 则 分 析 成 功 。 

为 了 保护 信息 的 保密 性 ,抗击 密码 分 析 ,保密 系统 应 当 满 足下 述 要 求 ， 

(1) 系统 即使 达 不 到 理论 上 是 不 可 破 的 , 即 p{m 二 m} 二 0, 也 应 当 为 实际 上 不 可 破 
的 。 也 就 是 说 ,从 截获 的 密 文 或 某 些 已 知 明文 密 文 对 ,要 决定 密 钥 或 任意 明文 在 计算 上 是 
不 可 行 的 。 

(2) 系统 的 保密 性 不 依赖 于 对 加 密 体 制 或 算法 的 保密 ,而 依赖 于 密 钥 。 这 就 是 著名 
的 Kerckhoff 原则 。 

(3) 加 密 和 解密 算法 适用 于 密 钥 空 间 中 的 所 有 元 素 。 

(4) 系统 便于 实现 和 使 用 。 


132 密码 体制 分 类 


密码 体制 从 原理 上 可 分 为 两 大 类 , 即 单 钥 体 制 和 双 钥 体制 。 

单 钥 体制 的 加 密 密 钥 和 解密 密 钥 相同 。 系 统 的 保密 性 主要 取决 于 密 钥 的 安全 性 ,与 
算法 的 保密 性 无 关 , 即 由 密 文 和 加 解密 算法 不 可 能 得 到 明文 。 换 句 话 说 ,算法 无 须 保密 ， 
需 保 密 的 仅 是 密 钥 。 根 据 单 钥 密 码 体制 的 这 种 特性 , 单 钥 加 解密 算法 可 通过 低 费用 的 芯 
片 来 实现 。 密 钥 可 由 发 方 产生 ,然后 再 经 一 个 安全 可 靠 的 途径 (如 信使 递送 ) 送 至 收 方 ,或 
由 第 三 方 产生 后 安全 可 靠 地 分 配给 通信 双方 。 如 何 产生 满足 保密 要 求 的 密 钥 以 及 如 何 将 
密 钥 安全 可 靠 地 分 配给 通信 双方 是 这 类 体制 设计 和 实现 的 主要 课题 。 密 钥 产生 、 分 配 、 存 
储 、 销 毁 等 问题 ,统称 为 密 钥 管理 。 这 是 影响 系统 安全 的 关键 因素 ,即使 密码 算法 再 好 , 若 
密 钥 管理 问题 处 理 不 好 ,也 很 难保 证 系统 的 安全 保密 。 

单 钥 体制 对 明文 消息 的 加 密 有 两 种 方式 : 一 是 明文 消息 按 字 符 ( 如 二 元 数字 ) 逐 位 地 
加 密 , 称 为 流 密码 ; 另 一 种 是 将 明文 消息 分 组 (含有 多 个 字符 ) , 逐 组 地 进行 加 密 , 称 为 分 组 
密码 。 单 钥 体制 不 仅 可 用 于 数据 加 密 , 也 可 用 于 消息 的 认证 。 

双 钥 体制 是 由 Diffie 和 Hellman 于 1976 年 首先 引入 的 。 采 用 双 钥 体制 的 每 个 用 户 
都 有 一 对 选 定 的 密 钥 : 一 个 是 可 以 公开 的 ,可 以 像 电话 号 码 一 样 进行 注册 公布 ; 另 一 个 则 
是 秘密 的 。 因 此 双 钥 体制 又 称 为 公 钥 体制 。 

双 钥 密码 体制 的 主要 特点 是 将 加 密 和 解密 能 力 分 开 , 因 而 可 以 实现 多 个 用 户 加 密 的 
消息 只 能 由 一 个 用 户 解读 ,或 由 一 个 用 户 加 密 的 消息 而 使 多 个 用 户 可 以 解读 。 前 者 可 用 
于 公共 网 络 中 实现 保密 通信 ,而 后 者 可 用 于 实现 对 用 户 的 认证 。 详 细 介绍 参见 第 3 章 。 
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表 1-1 是 攻击 者 对 密码 系统 的 4 种 攻击 类 型 ,类 型 的 划分 由 攻击 者 可 获取 的 信息 量 
决定 。 其 中 ,最 困难 的 攻击 类 型 是 唯 密 文 攻击 ,这 种 攻击 的 手段 一 般 是 穷 搜 索 法 , 即 对 截 
获 的 密 文 依次 用 所 有 可 能 的 密 钥 试 译 ,直到 得 到 有 意义 的 明文 。 只 要 有 足够 多 的 计算 时 
间 和 存储 容量 ,原则 上 穷 搜 索 法 总 是 可 以 成 功 的 。 但 实际 中 ,任何 一 种 能 保障 安全 要 求 的 
实用 密码 都 会 设计 得 使 这 一 方法 在 实际 上 是 不 可 行 的 。 敌手 因 此 还 需 对 密 文 进行 统计 测 
试 分 析 , 为 此 需要 知道 被 加 密 的 明文 的 类 型 ,例如 英文 文本 、 法 文 文本 、MD-DOS 执行 文 
件 Java 源 列表 等 。 


表 1-1 对 密码 系统 的 攻击 类 型 








攻击 类 型 攻击 者 掌握 的 内 容 
。 加 密 算法 

机 。 截获 的 部 分 密 文 
。 加 密 算法 

已 知 明文 攻击 。 截 获 的 部 分 密 文 
。 一 个 或 多 个 明文 密 文 对 
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续 表 
攻击 类 型 攻击 者 掌握 的 内 容 
。 加 密 算法 
选择 明文 攻击 。 截获 的 部 分 密 文 
。 自己 选择 的 明文 消息 ,及 由 密 钥 产生 的 相应 密 文 
。 加 密 算 法 
选择 密 文 攻击 。 截获 的 部 分 密 文 
。 自己 选择 的 密 文 消息 ,及 相应 的 被 解密 的 明文 


唯 密 文 攻击 时 ,敌手 知道 的 信息 量 最 少 , 因 此 最 易 抵抗 。 然 而 ,很 多 情况 下 ,敌手 可 能 
有 更 多 的 信息 ,也许 能 截获 一 个 或 多 个 明文 及 其 对 应 的 密 文 ,也 许 知道 消息 中 将 出 现 的 某 
种 明文 格式 。 例 如 ,ps 格式 文件 开始 位 置 的 格式 总 是 相同 的 ,电子 资金 传送 消息 总 有 一 
个 标准 的 报头 或 标题 。 这 时 的 攻击 称 为 已 知 明文 攻击 ,敌手 也 许 能 够 从 已 知 的 明文 被 变 
换 成 密 文 的 方式 得 到 密 钥 。 

与 已 知 明文 攻击 密切 相关 的 一 种 攻击 法 称 为 可 能 字 攻 击 。 例 如 对 一 篇 散文 加 密 , 政 
手 可 能 对 消息 的 含义 知之 甚 少 。 然 而 ,如 果 对 非常 特别 的 信息 加 密 , 敌 手 也 许 能 知道 消息 
中 的 某 一 部 分 。 例 如 ,发送 一 个 加 密 的 账目 文件 ,敌手 可 能 知道 某 些 关键 字 在 文件 报头 的 
位 置 。 又 如 ,一 个 公司 开发 的 程序 的 源 代 码 中 ,可 能 在 某 个 标准 位 置 上 有 该 公司 的 版 权 
声明 。 

如 果 攻 击 者 能 在 加 密 系统 中 插入 自己 选择 的 明文 消息 , 则 通过 该 明文 消息 对 应 的 密 
文 ,有 可 能 确定 出 密 钥 的 结构 ,这 种 攻击 称 为 选择 明文 攻击 。 

选择 密 文 攻击 是 指 攻 击 者 利用 解密 算法 ,对 自己 所 选 的 密 文 解密 出 相应 的 明文 。 

还 有 两 个 概念 值得 注意 : 一 个 加 密 算 法 是 无 条 件 安全 的 ,如 果 算 法 产生 的 密 文 不 能 
给 出 唯一 决定 相应 明文 的 足够 信息 ,那么 此 时 无 论 敌 手 截获 多 少 密 文 、. 花 费 多 少时 间 ,都 
不 能 解密 密 文 ;第 二 ,Shannon 指出 , 仅 当 密 钥 至 少 和 明文 一 样 长 时 ,才能 达到 无 条 件 安 
全 。 也 就 是 说 ,除了 一 次 一 密 方案 外 ,再 无 其 他 的 加 密 方案 是 无 条 件 安全 的 。 比 无 条 件 安 
全 弱 的 一 个 概念 是 计算 上 安全 的 ,加 密 算 法 只 要 满足 以 下 两 条 准则 之 一 就 称 为 是 计算 上 
安全 的 : 

(1) 破译 密 文 的 代价 超过 被 加 密 信 息 的 价值 。 

(2) 破译 密 文 所 花 的 时 间 超 过 信息 的 有 用 期 。 


| 几 种 古典 密码 





古典 密码 的 加 密 是 将 明文 的 每 一 字母 代 换 为 字母 表 中 的 另 一 字母 , 代 换 前 首先 将 明 
文字 母 用 等 价 的 十 进 制 数字 代替 ,再 以 代替 后 的 十 进 制 数 字 进 行 运算 ,字母 与 十 进 制 数字 
的 对 应 关系 如 表 1-2 所 示 。 
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表 1-2 英文 字母 和 十 进 制 数 字 的 对 应 关系 
字母 a b c d e 从 g h i j k 1 m 





数字 0 1 2 3 4 5 6 人 8 9 10 ia 12 








字母 n o p q r s * u v w x y z 





数字 | | | | 25 









































根据 代 换 是 对 每 个 字母 逐个 进行 还 是 对 多 个 字母 同时 进行 ,古典 密码 又 分 为 单 表 代 
换 密码 和 多 表 代 换 密码 。 


141 单 表 代 换 密码 
1. 恺 撤 密 码 
已 撤 (Caesar) 密 码 的 加 密 代 换 和 解密 代 换 分 别 为 ; 
c= E(m) 三 m+ 3(mod 26), 0 过 m25 
m= Di(c)=c—3(mod 260)，0 委 c 委 25 
其 中 3 是 加 解密 所 用 的 密 钥 ,加 密 时 ,每 个 字母 向 后 移 3 位 (循环 移 位 ,字母 x 移 到 a,y 移 
到 4b,z 移 到 c)。 解 密 时 ,每 个 字母 向 前 移 3 位 (循环 移 位 ) 。 


2 移 位 变换 

移 位 变换 的 加 解密 分 别 是 : 
c= E(m)=m++k(mod 26)，0 委 加 ,天 委 25 
m= Di(c) 三 c 一 Amod 26), 0e,k25 


3. 仿 射 变换 
仿 射 变换 的 加 解密 分 别 是 : 
c= E,,,(m) = am 十 0Cmod 26) 
m= Dj,(c) a(c—b) (mod 26) 
其 中 4a.6 是 密 钥 , 为 满足 0<a,6 二 25 和 gcd(a,26) 二 1 的 整数 。 其 中 gcd(a,26) 表 示 a 和 
26 的 最 大 公 因 子 ,gcd(a,26) 二 1 表示 a 和 26 是 互 素 的 ,a 表示 a 的 逆 元 , 即 a !， 4 二 
1 mod 26 。 
【 例 1-1】 设 仿 射 变换 的 加 解密 分 别 是 : 
c= Eral(m)=7m+21(mod 26) 
m= Dralc) 7 (cm 21)(mod 26) 
对 security 加 密 , 对 vlxijh 解密 。 
解 
s=18, 7.。18+2l(mod 26) = 17, s=>r 
e 一 4， 7。4 十 21(mod 26) 一 23， e 一 工 
<c 一 2，7。2 十 21(mod 26) 一 9， c 一 ) 
u 一 20，7。20 十 21(mod 26) = 5, 一 厂 





现代 密码 学 (第 4 版) Eeee 


r=17, 7.。17++2l(mod 26) = 10， r=>k 
zi 一 8，7。8 十 21(mod 26) = 25, i=>z 
t=19, 7.19+2l(mod 26) = 24, t=>y 
y=24, 7.24+21l(mod 26) =7，y=>h 
所 以 ,security 对 应 的 密 文 是 rxjfkzyh。 
v= 21, 7. (21—21)(mod 26) =0, va 
l=11l, 77. (11—21)(mod 26) = 6, /l=>g 
工 一 23， 7 。(23 一 21)(mod 26) = 4, ze 
1 一 8，7-。(8 一 21)(mod 26) = 13， i=>n 
j=9, 7 。(9 一 21)(mod 26) = 2， j=>¢c 
h=7, 73.(7—21)(mod 26) = 24, h=>y 
所 以 ,vlxijh 对 应 的 明文 是 agency。 


142 多 表 代 换 密码 


多 表 代 换 密码 首先 将 明文 M 分 为 由 个 字母 构成 的 分 组 Mi ,Ms ,…，, Mi ,对 每 个 分 
组 M; 的 加 密 为 : 





C;=AM;+B(mod N), i= 1,2,%,j 
其 中 (4,B) 是 密 钥 ,4 是 nXn 的 可 道 矩 阵 ,满足 gcd(|4|,N)=1(|4| 是 行列 式 )。 了 3 一 
(Bi ,BBC 一 (CC CT Mi; = 二 (mismza，"… ma)"'。 对 密 文 分 组 C; 的 解 
密 为 : 
M; 三 4-(C; 一 B)(mod N), i=1,2,%,j 
【 例 1-2】 设 n=3,N=26， 


11 2. 19 0 
A=| 5 23 25|, B=|0 
20 7 17 0 


明文 为 YOUR PIN NO IS FOUR ONE TWO SIX。 
将 明文 分 成 3 个 字母 组 成 的 分 组 YOU RPI NNO ISF OUR ONE TWO SIX, 由 


表 1-2 得 








24 17 13 8 
M=|14|, M;= |15|, :一 |13|，M 一 |18 
20 8 14 5 
14 14 19 18 
Ms=|20|, M6=|13|, M=|22|, M=| 8 
7 4 14 23 
所 以 
24 22 17 13 19 
C=AIl4|=| 6|，C: 一 4|15 6|， Cs: 一 4|13 12 |， 
20 8 8 9 14 17 


10 








Ee 第 1 章 引言 
8 11 14 23 14 22 
Cs 4|18 7 C5 4| 20 19|, C=A|I13|=| 1|， 
5 多 7 学 4 23 
19 25 18 1 
C=AIl22|=|115|, Cs =A| 8|=|17 
14 18 23 1 
密 文 为 WGI FGJ TMR LHH XTH WBX ZPS BRB。 
11 2 1917 10 23 7 
上 二 1 5. 季 部 一 | 15 9 22 
2 了 [3 9 21 
再 求 
22 24 5 17 19 13 
RN 三 A a eS lh 
8 20 9 8 1 14 
11 8 23 14 22 14 
M,=A'| 7|=|18 Ms 一 4 |19|= |20 Me 一 4 -| 1|=|13 
7 5 7 17 23 4 
25 19 1 18 
M = "SI= 122l =A17I=| 3 
18 14 1 23 
得 明文 为 YOU RPI NNO ISF OUR ONE TWO SIX。 
习 题 


1. 设 仿 射 变换 的 加 密 是 : 
Ei,s(m) = 11lm + 23(mod 26) 
对 明文 THE NATIONAL SECURITY AGENCY 加 密 , 并 使 用 解密 变换 
Dzss(c) 1 (c— 23)(mod 26) 
验证 你 的 加 密 结 果 。 
2. 设 由 仿 射 变换 对 一 个 明文 加 密 得 到 的 密 文 为 
edsgickxhuklzveqzvkxwkzukvcuh 
又 已 知 明文 的 前 两 个 字符 是 让。 对 该 密 文 解密 。 
3. 设 多 表 代 换 密码 中 


3 13 21 9 1 
15 10 6 25 21 
A= ，B= 
10 17 4 8 8 
1 23 7 2 7 
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加 密 为 : 

Ci = AM; + B(mod 26) 
对 明文 PLEASE SEND ME THE BOOK, MY CREDIT CARD NO IS SIX ONE TWO 
ONE THREE EIGHT SIX ZERO ONE SIX EIGHT FOUR NINE SEVEN 
ZERO TWO， 

用 解密 变换 
M; 三 AC;—B)(mod 26) 
验证 你 的 结果 ,其 中 
26 13 20 ‘5 


a 0 10 11 0 
|9 11 15 22 
9 22 6 25 


4. 设 多 表 代 换 密码 C; 三 AM 十 B(mod 26) 中 ,A 是 2X2 矩阵,B 是 0 和 矩阵 ,又 知 明文 
dont 被 加 密 为 elni, 求 矩阵 4。 


Le 








第 2 芝 
流 密码 


21 流 密码 的 基本 概念 





流 密码 的 基本 思想 是 利用 密 钥 产生 一 个 密 钥 流 = 一 =oz:…, 并 使 用 如 下 规则 对 明文 
串 xz 一 zozlza… 加 密 : y 一 yyy… 一 E.(zo)E- (x1)E., (xs)…。 密 钥 流 由 密 钥 流 发 生 
器 了 产生: = 一 CR,a) ,这 里 6; 是 加 密 器 中 的 记忆 元 件 ( 存 储 器 ) 在 时 刻 i 的 状态 ,f 是 由 
密 钥 & 和 产生 的 函数 。 

分 组 密码 与 流 密码 的 区 别 就 在 于 有 无 记忆 性 ( 见 图 2-1)。 流 密码 的 滚动 密 钥 zo 一 
f(k,0o) 由 函数 f、 密 钥 k 和 指定 的 初 态 oo 完全 确定 。 此 后 ,由 于 输入 加 密 器 的 明文 可 能 
影响 加 密 器 中 内 部 记忆 元 件 的 存储 状态 ,因而 ci (Ci 盖 0) 可 能 依赖 于 R,oo,zoyzi，…z-1 等 


参数 。 
避 4 












































Xl pa Xi Bl 
: 无 记忆 元 件 $ 
| EE 内 部 记忆 元 件 
JJ 一 Er) pFE:(x) 
(a) 分 组 密码 (b) 流 密 码 


图 2-1 分 组 密码 和 流 密码 的 比较 


21.1 同步 流 密码 


根据 加 密 器 中 记忆 元 件 的 存储 状态 o; 是 否 依赖 于 输入 的 明文 字符 , 流 密 码 可 进一步 
分 成 同步 和 自 同步 两 种 。s; 独立 于 明文 字符 的 叫做 同步 流 密码 ,否则 叫做 自 同步 流 密码 。 
由 于 自 同步 流 密码 的 密 钥 流 的 产生 与 明文 有 关 , 因 而 较 难 从 理论 上 进行 分 析 。 目 前 大 多 
数 研究 成 果 都 是 关于 同步 流 密码 的 。 在 同步 流 密 码 中 ,由 于 x; 二 了 (k,6i) 与 明文 字符 无 
关 , 因 而 此 时 密 文 字符 w% 一 E- (zi) 也 不 依赖 于 此 前 的 明文 字符 。 因 此 ,可 将 同步 流 密码 
的 加 密 器 分 成 密 钥 流产 生 器 和 加 密 变 换 器 两 个 部 分 。 如 果 与 上 述 加 密 变 换 对 应 的 解密 变 
换 为 xz; 二 D; (y) , 则 可 给 出 同步 流 密码 的 模型 如 图 2-2 所 示 。 

同步 流 密 码 的 加 密 变 换 E. 可 以 有 多 种 选择 ,只 要 保证 变换 是 可 逆 的 即 可 。 实 际 使 
用 的 数字 保密 通信 系统 一 般 都 是 二 元 系统 ,因而 在 有 限 域 GF(2) 上 讨论 的 二 元 加 法 流 密 
码 ( 见 图 2-3) 是 目前 最 为 常用 的 流 密码 体制 ,其 加 密 变 换 可 表示 为 m 一 二 中 ri。 
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安全 信道 
I'm TD— Kk 
滚动 密 钥 生 成 器 滚动 密 钥 生成 器 
| E(x) 六 可 DO) | 一 
2-2 同步 流 密码 体制 模型 
安全 信道 
22 一 一 上 






































四 xX 








2-3 ”加 法 流 密码 体制 模型 


一 次 一 密 密 码 是 加 法 流 密码 的 原型 。 事 实 上 ,如 果 = 一 驴 ( 即 密 钥 用 作 滚 动 密 钥 流 )， 
则 加 法 流 密码 就 退化 成 一 次 一 密 密 码 。 在 实际 使 用 中 ,密码 设计 者 的 最 大 愿望 是 设计 出 
一 个 滚动 密 钥 生成 器 ,使 得 密 钥 & 经 其 扩展 成 的 密 钥 流 序 列 > 具有 如 下 性 质 : 极 大 的 周 
期 .良好 的 统计 特性 、 抗 线性 分 析 、 抗 统计 分 析 。 


212 有 限 状态 自动 机 


有 限 状 态 自动 机 是 具有 离散 输入 和 输出 (输入 集 和 输出 集 均 有 限 ) 的 一 种 数学 模型 ， 
由 以 下 3 部 分 组 成 : 

(1) 有 限 状 态 集 S= {5;|i==1,2,… ,1}; 

(2) 有 限 输 入 字符 集 Al = {4P 17 二 1,2,…,m} 和 有 限 输出 字符 集 A,= 二 {A 1k 二 1， 
2 

(3) 转移 函数 

A = GuoAD)S = tA 

即 在 状态 为 % ,输入 为 AP 时 ,输出 为 A ,而 状态 转移 为 5s。 

【 例 2-1〗 S= {515520,5} ;A= 二 {AD ,AD ,AD },A, 一 {42 ,AP2 ,Ag2 } ,转移 函数 
由 表 2-1 给 出 。 

有 限 状态 自动 机 可 用 有 向 图 表示 , 称 为 转移 图 。 转 移 图 的 项 点 对 应 于 自动 机 的 状态 ， 
车 状态 s; 在 输入 AsY 时 转 为 状态 s;, 且 输出 一 个 字符 A;”, 则 在 转移 图 中 ,从 状态 s; 到 状 
态 s; 有 一 条 标 有 (A ,Ap ) 的 弧 线 ( 见 图 2-4)。 
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表 2-1 转移 函数 f, 和 了; 














fn 4 4 4 
A® A® A 
S52 A A A 
5 A A 4 
fi 4 4 4 
51 32 31 53 
52 53 S52 31 
53 831 53 S52 








(49,40) 


2-4 有 限 状态 自动 机 的 转移 图 


例 2-1 中 , 若 输入 序列 为 Ai?” As? Ai?As? As?”AI ,初始 状态 为 5 , 则 得 到 状态 序列 
输出 字符 序列 
A®P A AP AD AP A 


213 密 钥 流产 生 器 


同步 流 密 码 的 关键 是 密 钥 流产 生 器 。 一 般 可 将 其 看 成 一 个 参数 为 k 的 有 限 状态 自动 
机 ,由 一 个 输出 符号 集 Z .一 个 状态 集 3、 两 个 函数 pg 和 y 以 及 一 个 初始 状态 oo 组 成 ( 见 
图 2-5) ,状态 转移 函数 p: ci 一 cr+i ,将 当前 状态 oi 变 为 一 个 新 状态 i411, 输出 函数 y: 0 一 
zi， 当 前 状态 6 变 为 输出 符号 集中 的 一 个 元 素 过 。 这 种 密 钥 流 生成 器 设计 的 关键 在 于 找 出 
适当 的 状态 转移 函数 p 和 输出 函数 y, 使 得 输出 序列 = 满足 密 钥 流 序列 = 应 满足 的 几 个 条 
件 ,并 且 要 求 在 设备 上 是 节省 的 和 容易 实现 的 。 为 了 实现 这 一 目标 ,必须 采用 非 线 性 函数 。 
k 











-i 


图 2-5 作为 有 限 状态 自动 机 的 密 钥 流 生成 器 
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由 于 具有 非 线性 的 p 的 有 限 状 态 自 动机 理论 很 不 完善 ,相应 的 密 钥 流产 生 器 的 分 析 
工作 受到 极 大 的 限制 。 相 反 地 , 当 采 用 线性 的 g 和 非 线 性 的 y 时 ,我 们 将 能 够 进行 深入 的 
分 析 并 可 以 得 到 好 的 生成 器 。 为 方便 讨论 ,可 将 这 类 生成 器 分 成 驱动 部 分 和 非 线 性 组 合 
部 分 ( 见 图 2-6)。 驱 动 部 分 控制 生成 器 的 状态 转移 ,并 为 非 线性 组 合 部 分 提供 统计 性 能 
好 的 序列 。 而 非 线性 组 合 部 分 要 利用 这 些 序列 组 合 出 满足 要 求 的 密 钥 流 序列 。 

目前 最 为 流行 和 实用 的 密 钥 流 产生 器 如 图 2-7 所 示 , 其 驱动 部 分 是 一 个 或 多 个 线性 
反馈 移 位 寄存 器 。 













































































LFSRI | 
| | LFSR 
| - | LFSR2 | 了 
一 一 一 大红 | 
驱动 一 一 =| 性 组 也 
子 系统 合子 
系统 ,| LFSRn ”| 
图 2-6” 密 钥 流 生成 器 的 分 解 图 2-7 常见 的 两 种 密 钥 流产 生 器 


2 2 线性 反馈 移 位 寡 存 器 





移 位 寄存 器 是 流 密码 产生 密 钥 流 的 一 个 主要 组 成 部 分 。GF(2) 上 一 个 n 级 反馈 移 位 
寄存 器 由 个 二 元 存储 器 与 一 个 反馈 函数 f(a,as,…,a,) 组 成 ,如 图 2-8 所 示 。 每 一 存 
储 器 称 为 移 位 寄存 器 的 一 级 ,在 任 一 时 刻 , 这 些 级 的 内 容 构 成 该 反馈 移 位 寄存 器 的 状态 ， 
每 一 状态 对 应 于 GF(2) 上 的 一 个 n 维 向 量 , 共 有 2" 种 可 能 的 状态 。 每 一 时 刻 的 状态 可 用 
n 长 序列 

QI1yQ2， dn 
或 n 维 向 量 

(al ,az yan) 
表示 ,其 中 a; 是 第 i 级 存储 器 的 内 容 。 初 始 状态 由 用 户 确定 , 当 第 ;个 移 位 时 钟 脉冲 到 来 
时 ,每 一 级 存储 器 a; 都 将 其 内 容 向 下 一 级 ai- 传递 ,并 根据 寄存 器 此 时 的 状态 al ,az ,…， 
a 计算 fay,as，…,a,), 作 为 下 一 时 刻 的 a,。 反 馈 函 数 Fa ,as，…,a,) 是 nn 元 布尔 函 
数 , 即 个 变 元 a1,az，… as 可 以 独立 地 取 0 和 1 这 两 个 可 能 的 值 ,函数 中 的 运算 有 人 逻辑 
与 .逻辑 或 、. 逻 辑 补 等 运算 ,最 后 的 函数 值 也 为 0 或 1。 





输出 序列 


斑 = a ee a a | a 


图 2-8 GF(2) 上 的 nn 级 反馈 移 位 寄存 器 









































【 例 2-2】 图 2-9 是 一 个 3 级 反馈 移 位 寄存 器 ,其 初始 状态 为 (41 ,as ,as) 王 (1,0,1)， 
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输出 可 由 表 2-2 求 出 。 
































六 0@4 











图 2-9 一 个 3 级 反馈 移 位 寄存 器 


表 2-2 一 个 3 级 反馈 移 位 寄存 器 的 状态 和 输出 
状态 (as ,az ,a1) 输 出 状态 (as ,az ,al ) 输 出 








即 输出 序列 为 101110111011… ,周期 为 4。 
如 果 移 位 寄存 器 的 反馈 函数 f(a ,as,…,a,) 是 a,as，… ,a, 的 线性 函数 , 则 称 之 为 
线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register,LFSR)。 此 时 f 可 写 为 
(ai yaz sd) 一 cnal Drias 四 … 四 ca， 
其 中 常数 ci 一 0 或 1, 田 是 模 2 加 法 。ci:=0 或 1 可 用 开关 的 断 开 和 闭合 来 实现 ,如 图 2-10 
所 示 。 








输出 序列 


LL 
(| 


图 2-10 GF(2) 上 的 级 线性 反馈 移 位 寄存 器 








Gl 人 bd 



































输出 序列 {a,} 满 足 
Qntt 一 Cnlde 图 cmam DDaams 
其 中 :为 非 负 正 整数 。 

线性 反馈 移 位 寄存 器 因 其 实现 简单 .速度 快 有 较为 成 熟 的 理论 等 优点 而 成 为 构造 密 
钥 流 生 成 器 的 最 重要 的 部 件 之 一 。 

【 例 2-3】〗 图 2-11 是 一 个 5 级 线性 反馈 移 位 寄存 器 ,其 初始 状态 为 (al ,az ,as ,ai， 
ai) 一 (1.0,0,1,1) ,可 求 出 输出 序列 为 

1001101001000010101110110001111100110…- 
周期 为 31 。 

在 线性 反馈 移 位 寄存 器 中 总 是 假定 cl ,cs,…,c 中 至 少 有 一 个 不 为 0, 否则 f(ai， 
qs， saw) 三 0, 这 样 的 话 , 在 nn 个 脉冲 后 状态 必然 是 00…0, 且 这 个 状态 必 将 一 直 持续 下 
去 。 若 只 有 一 个 系数 不 为 0, 设 仅 有 ci 不 为 0, 实际 上 是 一 种 延迟 装置 。 一 般 对 于 ?级 线 
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输出 序列 





一 | as | dy -| a | | al 









































Oa 
图 2-11 一 个 5 级 线性 反馈 移 位 寄存 器 


性 反馈 移 位 寄存 器 ,总 是 假定 c, 二 1。 

线性 反馈 移 位 寄存 器 输出 序列 的 性 质 完 全 由 其 反馈 函数 决定 。n 级 线性 反馈 移 位 寄 
存 器 最 多 有 2" 个 不 同 的 状态 。 若 其 初始 状态 为 0, 则 其 状态 恒 为 0。 若 其 初始 状态 非 0， 
则 其 后 继 状态 不 会 为 0。 因 此 级 线性 反馈 移 位 寄存 器 的 状态 周期 小 于 等 于 2" 一 1。 其 
输出 序列 的 周期 与 状态 周期 相等 ,也 小 于 等 于 2 一 1。 只 要 选择 合适 的 反馈 函数 便 可 使 
序列 的 周期 达到 最 大 值 2" 一 1, 周 期 达到 最 大 值 的 序列 称 为 m 序列 。 


2.3 线性 移 位 寄存 器 的 一 元 多 项 式 表 示 





设 级 线性 移 位 寄存 器 的 输出 序列 fa } 满 足 递 推 关系 
Qntk 一 C1QrHe1 四 cake 四 下 四 ca (*) 
对 任何 三 1 成 立 。 这 种 递 推 关系 可 用 一 个 一 元 高 次 多 项 式 
p(xz) 一 1 十 ciz 十 … 十 crizrl 十 caze 
表示 , 称 这 个 多 项 式 为 LFSR 的 特征 多 项 式 。 

设 交 级 线性 移 位 寄存 器 对 应 于 递 推 关 系 (* ) ,由 于 wEGF(2)(i 一 1,2,…,2) ,所 以 
共有 2" 组 初始 状态 , 即 有 2" 个 递 推 序列 ,其 中 非 恒 零 的 有 2 一 1 个 , 记 2 一 1 个 非 零 序 列 
的 全 体 为 G(p(z))。 

定义 2-1 给 定 序 列 {a;} , 寡 级 数 








称 为 该 序列 的 生成 函数 。 
定理 2-1 设 p(z)==1 十 cz 十 … 十 0,-12x”! 十 cnx" 是 GF(2) 上 的 多 项 式 ,G(p(zx)) 中 
任 一 序列 {fai} 的 生成 函数 A(z) 满 足 : 


ACz) 一 DO 
p(x) 
其 中 
$x) = De a Pai) 
证 明 在 等 式 


ar 一 da 四 eam 由 … 四 ca 
anrta 一 dan 由 cza 由 … 四 cas 
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两 边 分 别 乘 以 xz" ,zx"! ,…, 再 求 和 ,可 得 
A(zx)— (at+aszrt+ +ar™!) 
三 @z[A(z)— (aiTasz 二 Tamaz"’)] 
十 cazz[A(Cz) 一 (ai 十 asr 十 … 十 av azr3) 人 





移 项 整理 得 
(1 十 cz 十 … 十 crizl 十 cazs)A(Cz) 
一 (al 十 az 十 … 十 aszz) 十 ciz(ai 十 az 十 … 十 azr2) 
十 cazz(ai 十 azz 十 十 arszr 3) 十 … 十 cize la 
即 


bz)A(z) = > csr™ Dazi!) 一 gz) 
i=l j=1 


(定理 2-1 证 毕 ) 
注意 在 GF(2) 上 有 a 十 a==0。 
定理 2-2 p(x)|g(zx) 的 充 要 条 件 是 G(p(x))CG(g(x))。 
证 明 车 p(x)|g(z), 可 设 g(z)==p(zx)r(z), 因 此 
$7T) _ $ATr(r) _ $7)r(z) 
人 轧 (Z) pIr(zy q(z) 
所 以 车 fai}EG(p(7)), 则 fai}EG(g(z)), 即 G(p(z))CG(g(z))。 
反之 ,车 Glp(z))CG(g(z)), 则 对 于 多 项 式 $(x) ,存在 序列 {a;} EG(p(z)) 以 
A(z) 一 笋 恕 为 生成 丽 数 。 特 别 地 ,对 于 多 项 式 (x) 一 1, 存 在 序列 {ai} EGCpCz)) 以 


1 











为 生成 函数 。 由 于 G(p(z))CG(g(z)), 序 列 {a;}EG(lg(z)), 所 以 存在 函数 r(x)， 








p(x) 
使 得 fo] 的 生成 函数 也 等 于 所 号 ,从 而 了 es 即 gCz) 二 plz)rtz), 所 以 
p(x) | q(x), 


(定理 2-2 证 毕 ) 

上 述 定理 说 明 可 用 级 LFSR 产生 的 序列 ,也 可 用 级 数 更 多 的 LFSR 来 产生 。 

定义 2-2 设 p(z) 是 GF(2) 上 的 多 项 式 ,使 p(x)|(z? 一 1) 的 最 小 pp 称 为 p(xz) 的 周 
期 或 阶 。 

定理 2-3 ” 若 序 列 {a;} 的 特征 多 项 式 p (xz) 定义 在 GF(2) 上 .pp 是 p(xz) 的 周期 , 则 
{ai} 的 周期 7|p。 

证 明 ”由 p(xz) 周 期 的 定义 得 p(z) | (x? 一 1), 因 此 存在 g(x), 使 得 zx? 一 1 二 p(x)g(z)， 
又 由 p(x)A(z)= 二 $8(z), 可 得 p(x)gq(zx)A(z)= 二 8$(z)g(z), 所 以 (zx? 一 1)A(z)= 
$(z)g(z)。 因 p(xz) 的 次 数 不 超 过 nn, 由 x? 一 1 二 p(x)g(z) 知 g(z) 的 次 数 不 超 过 p 一 n。 又 
知 $(z) 的 次 数 不 超 过 nn 一 1, 所 以 (zx? 一 1)A(z) 的 次 数 不 超 过 (p 一 十 (n 一 1) 二 p 一 1。 将 
(zt 一 1)A(Cz) 写 成 ze*A(z) 一 A(z) ,可 看 出 对 于 任意 正 整数 ;都 有 ai+， 一 ai。 

设 p=kr 十 1,0 志 1<r, 则 aitp 二 aipw+tt 二 ai44 二 Qi 所 以 t= 二 0, 即 7x|p。 
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(定理 2-3 证 毕 ) 

nn 级 LFSR 输出 序列 的 周期 ~ 不 依赖 于 初始 条 件 ,而 依赖 于 特征 多 项 式 p(z)。 我 们 
感 兴趣 的 是 LFSR 遍历 2 一 1 个 非 零 状态 ,这 时 序列 的 周期 达到 最 大 2 一 1, 这 种 序列 就 
是 冯 序 列 。 显 然 对 于 特征 多 项 式 一 样 , 而 仅 初始 条 件 不 同 的 两 个 输出 序列 ,一 个 记 为 
{a 四 }, 另 一 个 记 为 fal? } ,其 中 一 个 必 是 另 一 个 的 移 位 , 即 存在 一 个 常数 &, 使 得 

aD 一 他 之 一 1,2，… 

下 面 讨论 特征 多 项 式 满足 什么 条 件 时 ,LEFSR 的 输出 序列 为 m 序列 。 

定义 2-3 仅 能 被 非 0 常数 或 自身 的 常数 倍 除 尽 ,但 不 能 被 其 他 多 项 式 除 尽 的 多 项 式 
称 为 即 约 多 项 式 或 不 可 约 多 项 式 。 

不 可 约 多 项 式 与 讨论 的 域 有 关 , 例 如 f(z) 二 zx? 十 1, 在 实数 域 上 是 不 可 约 ,在 复数 域 
上 可 分 解 为 f(z) 二 (x 十 让 (x 一 让 。 

定理 2-4 设 p(z) 是 nn 次 不 可 约 多 项 式 , 周 期 为 w, 序 列 {a;}EGCp(7z)), 则 fai} 的 
周期 为 m。 

证 明 设 {a;} 的 周期 为 ,由 定理 2-3, 有 rr|m, 所 以 rm。 


设 ACz) 为 fo) 的 生成 丽 数 ,ACz) 一 芭 2) , 即 pz)A(z) 一 gz) 天 0,gCz) 的 次 数 不 
超过 7 一 1。 而 


中 
A(z) = Pax! 一 @ 十 az 十 十 oz 十 za 十 az 十 …… 十 arzr1) 
i=1 











Qi 十 az 并 十 … 十 arzC! 


十 (zD2(aw 十 az 十 必 十 orz ) 十 … 一 


人 
= 
CR 2 sy EN 肖 ( 昌 
| 轧 (z)” 
轧 (z)(ai 十 az 十 … 十 arz) 一 gz)(z 一 1) 
因 p(xz) 是 不 可 约 的 且 $8(z) 的 次 数 不 超 过 nn 一 1, 所 以 gcd(CpCz),gCz)) 一 1, 户 (7Z) 
| (x' 一 了 ,因此 mr。 
综 上 r=m。 





于 是 A(z) 





(定理 2-4 证 毕 ) 
定理 2-5 级 LFSR 产生 的 序列 有 最 大 周期 2 一 1 的 必要 条 件 是 其 特征 多 项 式 为 
不 可 约 的 。 
证 明 设 nn 级 LFSR 产生 的 序列 周期 达到 最 大 2" 一 1. 除 0 序列 外 ,每 一 序列 的 周期 
由 特征 多 项 式 唯一 决定 ,而 与 初始 状态 无 关 。 设 特征 多 项 式 为 p(z), 若 p(xz) 可 约 , 可 设 
为 p(xz)= 二 g(xz)h(zx), 其 中 g(x) 是 不 可 约 多 项 式 , 目 次 数 上 二 n。 由 于 Gl(g(x))C 
GCCz)) ,而 GCCz)) 中 序列 的 周期 一 方面 不 超过 2: 一 1, 男 一 方面 又 等 于 2" 一 1, 这 是 巴 
盾 的 ,所 以 p(xz) 是 不 可 约 多 项 式 。 
(定理 2-5 证 毕 ) 
该 定理 的 逆 不 成 立 , 即 LFSR 的 特征 多 项 式 为 不 可 约 多 项 式 时 ,其 输出 序列 不 一 定 是 
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m 序列 。 

【 例 2-4】 f(x)==zxt 十 x 十 x? 十 x 十 1 为 GF(2) 上 的 不 可 约 多 项 式 ,这 是 因为 一 次 多 
项 式 z,z 十 1 都 不 能 整除 f(x) ,因此 任 一 三 次 多 项 式 也 不 能 整除 f(x)。 而 二 次 多 项 式 有 
Xx: 二 xX。 XT 十 1 二 (zx 十 1)(zx 十 1)( 在 GF(2) 上 zx 十 X=0),x? 十 X= 二 x(x 十 1),x!: 十 x 十 1。 
由 zz 十 1 都 不 能 整除 f(x) 知 zx? ,zx? 十 1,x? 十 zx 都 不 能 整除 f(z), 二 次 不 可 约 多 项 式 
Zz! 十 Zz 十 1 不 能 整除 f(x) 可 直接 验证 。 

以 f(z) 为 特征 多 项 式 的 LFSR 的 输出 序列 可 由 

Qk 一 del Dars Dars 四 os， k 二 4 
和 给 定 的 初始 状态 求 出 , 设 初始 状态 为 0001, 则 输出 序列 为 000110001100011…, 周 期 为 
5, 不 是 mm 序列 。 

定义 2-4 若 n 次 不 可 约 多 项 式 p (zx) 的 阶 为 2" 一 1, 则 称 p(xz) 是 nn 次 本 原 多 项 式 。 

定理 2-6 设 {a;}EG(p(z)),f{ai} 为 m 序列 的 充 要 条 件 是 p(x) 为 本 原 多 项 式 。 

证 明 车 p(x) 是 本 原 多 项 式 , 则 其 阶 为 2 一 1, 由 定理 2-4 得 {a;} 的 周期 等 于 2" 一 1， 
即 {ai} 为 m 序列。 

反之 ,车 fai} 为 m 序列 , 即 其 周期 等 于 2" 一 1, 由 定理 2-5 知 p(x) 是 不 可 约 多 项 式 。 
由 定理 2-3 知 {ai} 的 周期 2 一 1 整除 p(z) 的 阶 , 而 p(x) 的 阶 不 超过 2 一 1, 所 以 p(xz) 的 
阶 为 2" 一 1, 即 p(x) 是 本 原 多 项 式 。 

(定理 2-6 证 毕 ) 

{qi} 为 m 序列 的 关键 在 于 p(x) 为 本 原 多 项 式 ,n 次 本 原 多 项 式 的 个 数 为 

2(2" 一 1) 


n 

其 中 9 为 欧 拉 函 数 。 已 经 证 明 , 对 于 任意 的 正 整 数 ,至 少 存在 一 个 n 次 本 原 多 项 式 。 所 
以 对 于 任意 的 nn 级 LFSR ,至少 存在 一 种 连接 方式 使 其 输出 序列 为 m 序列 。 

【 例 2-5】 设 p(z)==zx 十 x 十 1, 由 于 p(x)|(x* 一 1), 但 不 存在 小 于 15 的 常数 1, 使 
得 pCz)|(z' 一 ]), 所 以 p(z) 的 阶 为 15。 类 似 于 例 2-4,p(z) 的 不 可 约 性 可 由 xz、zx 十 1、 
Zz 十 zx 十 1 都 不 能 整除 p(z) 得 到 ,所 以 p(z) 是 本 原 多 项 式 。 

车 LFSR 以 p(x) 为 特征 多 项 式 . 则 输出 序列 的 递 推 关系 为 

4 一 api 四 ar ，R 二 4 
若 初始 状态 为 1001 , 则 输出 为 
100100011110101100100011110101… 

周期 为 2: 一 1 二 15, 即 输出 序列 为 m 序列 。 
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流 密码 的 安全 性 取决 于 密 钥 流 的 安全 性 ,要 求 密 钥 流 序列 有 好 的 随机 性 ,以 使 密码 分 

析 者 对 它 无 法 预测 。 也 就 是 说 ,即使 截获 其 中 一 段 ,也 无 法 推测 后 面 是 什么 。 如 果 密 钥 流 

是 周期 的 ,要 完全 做 到 随机 性 是 困难 的 。 严 格 地 说 ,这 样 的 序列 不 可 能 做 到 随机 ,只 能 要 
求 截获 比 周期 短 的 一 段 时 不 会 泄露 更 多 信息 .这样 的 序列 称 为 伪 随 机 序列 。 
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为 讨论 m 序列 的 随机 性 ,下 面 首先 讨论 随机 序列 的 一 般 特 性 。 

设 {fai} 二 (qrazaa…) 为 0、1 序列 ,例如 00110111, 其 前 两 个 数字 是 00, 称 为 0 的 2 游 
程 ;接着 是 11, 是 1 的 2 游程 ;再 下 来 是 0 的 1 游程 和 1 的 3 游程 。 

定义 2-5 GF(2) 上 周期 为 工 的 序列 fa;} 的 自 相关 函数 定义 为 








党 
Rn 未 > Da (Dr, 0<r<T-—1 
k=1 


定义 中 的 和 式 表 示 序 列 {ai} 与 {fai+:} (序列 {ai} 向 后 平移 zt 位 得 到 ) 在 一 个 周期 内 对 
应 位 相同 的 位 数 与 对 应 位 不 同 的 位 数 之 差 。 当 r=0 时 ,R(Cr) 王 1; 当 rr 天 0 时 , 称 RCr) 为 
异 相 自 相关 函数 。 

Golomb 对 伪 随 机 周期 序列 提出 了 应 满足 的 如 下 3 个 随机 性 公设 : 

(1) 在 序列 的 一 个 周期 内 ,0 与 1 的 个 数 相差 至 多 为 1 。 


(2) 在 序列 的 一 个 周期 内 ,长 为 1 的 游程 占 游程 总 数 的 十 ,长 为 2 的 游程 占 游程 总 数 





的 去 ,…, 长 为 7 的 游程 占 游程 总 数 的 南 ,…, 且 在 等 长 的 游程 中 0 的 游程 个 数 和 1 的 游程 


个 数 相等 。 
(3) 异 自 相关 函数 是 一 个 常数 。 
公设 (1) 说 明 {fa} 中 0 与 1 出 现 的 概率 基本 上 相同 ,(2) 说 明 0 与 1 在 序列 中 每 一 位 
置 上 出 现 的 概率 相同 ;(3) 意 味 着 通过 对 序列 与 其 平移 后 的 序列 做 比较 ,不 能 给 出 其 他 任 
何 信息 。 
从 密码 系统 的 角度 看 ,一 个 伪 随 机 序列 还 应 满足 下 面 的 条 件 : 
(1) {ai} 的 周期 相当 大 。 
(2) fai} 的 确定 在 计算 上 是 容易 的 。 
(3) 由 密 文 及 相应 的 明文 的 部 分 信息 ,不 能 确定 整个 {a;}。 
定理 2-7 说 明 ,m 序列 满足 Golomb 的 3 个 随机 性 公设 。 
定理 2-7 GF(2) 上 的 nn 长 m 序列 {a;} 具 有 如 下 性 质 : 
(1) 在 一 个 周期 内 ,0、1 出 现 的 次 数 分 别 为 2 一 一 1 和 2 一:。 
(2) 在 一 个 周期 内 ,总 游程 数 为 2”! ;对 1 过 i 二 n 一 2, 长 为 i 的 游程 有 2" 个 ! 个 , 且 0、1 
游程 各 半 ;长 为 n 一 1 的 0 游程 一 个 ,长 为 n 的 1 游程 一 个 ; 
(3) {fai} 的 自 相 关 函 数 为 
1 ， xz 一 0 
R(7) = i 
2" 一 1 
证 明 (1) 在 nn 长 m 序列 的 一 个 周期 内 ,除了 全 0 状态 外 ,每 个 长 状态 (共有 2 一 1 
个 ) 都 恰好 出 现 一 次 ,这 些 状 态 中 有 2 一 :个 在 w 位 是 1, 其余 2" 一 1 一 2"!= 二 2"! 一 1 个 状 
态 在 ai 位 是 0。 
(2) 对 "一 1,2, 易 证 结论 成 立 。 
对 n>2, 当 1<i<n 一 2 时 ,n 长 m 序列 的 一 个 周期 内 ,长 为 i 的 0 游程 数目 等 于 序列 


0<z 委 2 一 2 


和 


中 如 下 形式 的 状态 数目 : 1 00…01 x* …* ,其 中 z 一 上 一 2 个 * 可 任 取 0 或 1。 这 种 状态 共 
让 0 


有 2" 个 。 同 理 可 得 长 为 i 的 1 游程 数目 也 等 于 2”?, 所 以 长 为 i 的 游程 总 数 
人 
由 于 寄存 器 中 不 会 出 现 全 0 状态 ,所 以 不 会 出 现 0 的 游程 ,但 必 有 一 个 1 的 nn 游 
程 ,而 且 1 的 游程 不 会 更 大 ,因为 车 出 现 1 的 十 1 游程 ,就 必然 有 两 个 相 邻 的 全 1 状态 ， 
但 这 是 不 可 能 的 。 这 就 证 明了 1 的 n 游程 必然 出 现在 如 下 的 串 中 : 
0 11…10 


当 这 上 2 位 通过 移 位 寄存 器 时 , 便 依次 产生 以 下 状态 ; 


011…1 11…1 11…10 
TT TT 


由 于 0 11…1、11…10 这 两 个 状态 只 能 各 出 现 一 次 ,所 以 不 会 有 1 的 nn 一 1 游程 。 


TT 证 T 
0 的 2 一 1 游程 有 一 个 : 
1 00…01 


Es 
它 产生 1 00…0 和 00…01 两 个 状态 。 


于 是 在 一 个 周期 内 ,总 游程 数 为 : 
1+1+ 和 2 = 2 


(3) {ai} 是 周期 为 2 一 1 的 m 序列 ， 对 于 任 一 正 整数 (0 二 rt 达 2" 一 1), {ai} 十 
{aite} 在 一 个 周期 内 为 0 的 位 的 数目 正好 是 序列 {a;} 和 {air:} 对 应 位 相同 的 位 的 数目 。 
设 序 列 {a;} 满 足 递 推 关系 : 
ait = claihrl 四 czanhrs © - © Caan 
故 
ptntr 一 Cahntel © C2aldptntr-2 © Se © CnQ htr 
ah Dajte = (ap DO ar) Oa DB arm) DPDoas Par) 
令 5 三 ajaj+.:， 由 递 推 序列 {ai} 可 推 得 递 推 序列 {5;}, {0;} 满 足 
Oh = cb OD cp OD cbs 
{0i} 也 是 mm 序列 。 为 了 计算 RCr) ,只 要 用 {2;} 在 一 个 周期 中 0 的 个 数 减 去 1 的 个 数 ,再 
除 以 2" 一 1, 即 








(定理 2-7 证 毕 ) 


2.5 mm 序列 密码 的 破译 





上 面 说 过 ,有 限 域 GF(2) 上 的 二 元 加 法 流 密码 ( 见 图 2-3) 是 目前 最 为 常用 的 流 密码 
体制 , 设 滚动 密 钥 生成 器 是 线性 反馈 移 位 寄存 器 ,产生 的 密 钥 是 m 序列。 又 设 S; 和 Sa 
是 序列 中 两 个 连续 的 长 向 量 ,其 中 
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Ap Qh+1 
QH+1 QH+2 

S, TT Sin 呈 
ital ptn 


设 序列 {ai} 满 足 线性 递 推 关系 : 


Gptn 一 CllAktn-l 四 C2QNHnm 一 2 四 四 CnQ 


可 表示 为 
CH1 1 0 Qn 
Upt2 0 0 1 0 ntl 
pin Cn Carl C2 " Cl ptn—l 
或 Si+ 一 M 。 S; ,其 中 
| 0 
Wel 


Ca Cel Cr Cl 
又 设 敌 手 知道 一 段 长 为 2n 的 明 密 文 对 , 即 已 知 
T= TiTZ2…TZan， y= yy Yan 


于 是 可 求 出 一 段 长 为 2n 的 密 钥 序列 


立 TZ1Z2 "°° Zon 


其 中 二 一 已 四 yw 一 已 四 (zi 四 <) 。 由 此 可 推出 线性 反馈 移 位 寄存 器 连续 的 n 十 1 个 状态 : 
Si = (wa) 四 (aliasz…an) 


记 为 
Ss = 〈zz zs…znH) 一 一 (azas…anH) 





Sn = (zap ZrH ez2n)》 二 和 (arHlQnH aan) 
设 矩 阵 
X= (SS,.…S,) 
而 
Ci ** as 
(anHanHz aan) 一 (Cacol cl | : : | 
Qs “Qasrl 
=(ccei'"*c)X 
若 针 可 逆 , 则 


{C001) = (Carmaneam) 1 
下 面 证 明 X 的 确 是 可 逆 的 。 
因为 和 是 由 Si ,S:,…:,S, 作为 列 向 量 , 要 证 X 可 道 ,只 要 证 明 这 ?个 向 量 线性 无 关 。 
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由 序列 递 推 关系 : 
Qin = ClQihrl 图 ca DD nan 


可 推出 向 量 的 递 推 关系 : 


Sih = clSih 申 cS DD eS = >)cSu ;Cmod 2) 
i=1 


设 m(m 三 n 十 1) 是 使 $1,S,,…,S, 线性 相关 的 最 小 整数 , 即 存在 不 全 为 0 的 系数 11， 
Wns ,其 中 不 妨 设 =1 ,使 得 
Sn 十 /2S。 十 15S。 2 十 … 十 lnS1 一 0 
即 
7 一 1 
S。 = 1.S; + lest lS = 2108S。 
i=1 
对 于 任 一 整数 i, 有 
Swi 一 MIS。 = MLS 十 /1S: 十 … 十 /2S。) 
一 MiS + ln MiSs 十 … 十 /MIS。 
=lnSin 二 lmiSits 十 … 十 12SH-i 
由 此 又 推出 密 钥 流 的 递 推 关 系 : 
Car = laamwti-i 四 LasanHi-2 四 和 四 lnait1 
即 密 钥 流 的 级 数 小 于 mw。 若 m 二 nn, 则 得 出 密 钥 流 的 级 数 小 于 nn, 了 矛盾 。 所 以 x 二 nn 十 1, 从 
而 推出 矩阵 XX 必 是 可 逆 的 。 

【 例 2-6】 设 敌 手 得 到 密 文 串 101101011110010 和 相应 的 明文 串 011001111111001， 
因此 可 计算 出 相应 的 密 钥 流 为 110100100001011。 进 一 步 假 定 敌 手 还 知道 密 钥 流 是 使 用 
5 级 线性 反馈 移 位 寄存 器 产生 的 ,那么 敌手 可 分 别 用 密 文 串 中 的 前 10 个 比特 和 明文 串 中 
的 前 10 个 比特 建立 如 下 方程 

QIG2Q3Q4G5 
Q2Q3G4Q5Q6 


(asazasasaio ) 一 〈csctcsczcl)| asaiasa6a7 


asdasasarag 
asasarasay 
即 
laol0 
和 
(01000) = (csccsczc)|0 1 0 0 1 
| 次 ' 有 .下 可 
0010 0 
而 
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LO 0 10 0 1 
oO 107 10 0 1 0 
ooo0 1 =|0 0 0 01 
LOD 1 0 0 0 1 1 
00 10 0 | 
从 而 得 到 
O00 1 
O00 1 0 
(cscicsczcl) 一 (01000)|0 0 0 0 1 
办 
10 1 10 
所 以 
(csctcsczcl) = (10010) 
密 钥 流 的 递 推 关系 为 


ais = Csai 四 cars = ai 四 ans 


Se 非 线 性 序列 





在 2.1.3 节 已 介绍 密 钥 流 生成 器 可 分 解 为 驱动 子 系统 和 非 线性 组 合子 系统 ,如 图 2- 
6 所 示 , 驱 动 子 系统 常用 一 个 或 多 个 线性 反馈 移 位 寄存 器 来 实现 , 非 线性 组 合子 系统 用 非 
线性 组 合 函数 下 来 实现 ,如 图 2-7 所 示 , 本 节 介绍 第 二 部 分 一 一 非 线性 组 合子 系统 。 

为 了 使 密 钥 流 生成 器 输出 的 二 元 序列 尽 可 能 复杂 ,应 保证 其 周期 尽 可 能 大 、 线 性 复杂 
度 和 不 可 预测 性 尽 可 能 高 ,因此 常 使 用 多 个 LFSR 来 构造 二 元 序列 , 称 每 个 LFSR 的 输出 
序列 为 驱动 序列 ,显然 密 钥 流 生成 器 输出 序列 的 周期 不 大 于 各 驱动 序列 周期 的 乘积 , 因 
此 ,提高 输出 序列 的 线性 复杂 度 应 从 极 大 化 其 周期 开始 。 

二 元 序列 的 线性 复杂 度 指 生成 该 序列 的 最 短 LFSR 的 级 数 ,最 短 LFSR 的 特征 多 项 
式 称 为 二 元 序列 的 极 小 特征 多 项 式 。 

下 面 介绍 4 种 由 多 个 LFSR 驱动 的 非 线性 序列 生成 器 。 


261 Geffe 序 列 生成 器 


Geffe 序列 生成 器 由 3 个 LFSR 组 成 ,其 中 LFSR2 作为 控制 生成 器 使 用 ,如 图 2-12 
所 示 。 

当 LFSR2 输出 1 时 , LFSR2 与 LFSR1 相连 接 ; 当 LFSR2 输出 0 时 , LFSR?2 与 
LFSR3 相连 接 。 若 设 LFSRi 的 输出 序列 为 {a }(i 二 1,2,3), 则 输出 序列 {564} 可 以 表 
示 为 

大 一 afpa 包 十 ai a® = aada® +adal? 十 ap 
Geffe 序列 生成 器 也 可 以 表示 为 图 2-13 的 形式 ,其 中 LFSR1 和 LFSR3 作为 多 路 复 
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合 器 的 输入 ,LFSR2 控制 多 路 复合 器 的 输出 。 设 LFSRi 的 特征 多 项 式 分 别 为 mw 次 本 原 
多 项 式 , 且 n; 两 两 互 素 , 则 Geffe 序列 的 周期 为 


















































3 
T= [[ (2*—D 
这 1 
线性 复杂 度 为 
6 = (mn)n+tns 
fn) 各 复合 
LFSR1 。 LFSRI ”| 生 一 
人 输出 {oy} [全 
LFSR2 LFSR3 上 二 -| 
LFSR3 . irsp2 He i 
2-12 ”Geffe 序列 生成 器 2-13 ”多 路 复合 器 表示 的 Geffe 序列 生成 器 


Geffe 序列 的 周期 实现 了 极 大 化 , 且 0 与 1 之 间 的 分 布 大 体 上 是 平衡 的 。 


262 类 触发 器 


JK 触发 器 如 图 2-14 所 示 , 它 的 两 个 输入 端 分 别 用 和 KK 表示 ,其 输出 ce 不 仅 依赖 
于 输入 ,还 依赖 于 前 一 个 输出 位 ci-1, 即 
c= (x1 + za)ceit zi 
其 中 zk 和 zs 分 别 是 J 和 天 端的 输入 。 由 此 可 得 JK 触发 器 的 真 值 表 , 如 表 2-3 所 示 。 
表 2-3 JK 触发 器 的 真 值 表 


J 











2-14 JK 触发 器 


利用 JK 触发 器 的 非 线性 序列 生成 器 见 图 2-15, 令 驱动 序列 {ai} 和 {06x} 分别 为 m 级 
和 级 m 序列 , 则 有 
c= (ast bc tar = ath Dem ta 





{ax} 
LFSRI J 





{cr} 





b, 
ES | 区 -| 

















2-15 ”利用 JK 触发 器 的 非 线 性 序列 生成 器 


如 果 令 c-: 一 0, 则 输出 序列 的 最 初 3 项 为 : 
co 一 ao 
cl 一 (ai 十 十 1)ao 十 aa 
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cz 一 (az 十 十 1)((Cai 十 下 十 1)ao 十 ai) 十 az 
当 m 与 n 互 素 且 ao 十 bo 二 1 时 ,序列 {ci} 的 周期 为 (2" 一 1)(2" 一 1)。 
【 例 2-7】 令 光 ==2,n 二 3, 两 个 驱动 m 序列 分 别 为 
fa 三 0,1,1…- 
和 
{6:}= 1,0,0,1,0,1,1,. 
于 是 ,输出 序列 {cs} 是 0,1,1;0,1,0,0,1;1,1,0,1,0,1,0;0,1,0,0,1,05 
其 周期 为 (2 一 1)(23 一 1) 一 21。 
由 表达 式 c= 二 《ax 十 bi 十 1)c4-1 十 ar 可 得 
ar， cr 一 0 
ck 一 (一 
Ws = 
因此 ,如 果 知 道 {c4} 中 相 邻 位 的 值 c 和 ce, 就 可 以 推断 出 a 和 6 中 的 一 个 。 而 一 
旦 知道 足够 多 的 这 类 信息 ,就 可 通过 密码 分 析 的 方法 得 到 序列 {ax} 和 {5}。 为 了 克服 上 
述 缺 点 ,Pless 提出 了 由 多 个 JK 触发 器 序列 驱动 的 多 路 复合 序列 方案 , 称 为 Pless 生 
成 器 。 


263 ”Pless 生成 器 


Pless 生成 器 由 8 个 LFSR、4 个 JK 触发 器 和 1 个 循环 计数 器 构成 ,由 循环 计数 器 进 
行 选 通 控制 ,如 图 2-16 所 示 。 假 定 在 时 刻 t 输出 第 i(mod 4) 个 单元 , 则 输出 序列 为 


aobics daasbsce"*: 





LFSRL “| 一 -| | mmar: 


LFSR2 一 一 一 | K J 0 


LFSR3 Ho) oo 























LFSR4 -Kk 1 
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LFSR5 oJ 2 
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LFSR7 “一 下 .| dddsd: A 
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2-16 Pless 生成 器 


264 钟 控 序 列 生 成 器 


钟 控 序 列 最 基本 的 模型 是 用 一 个 LFSR 控制 另外 一 个 LFSR 的 移 位 时 钟 脉冲 ,如 
图 2-17 所 示 。 

假设 LFSR1 和 LFSR2 分 别 输 出 序列 fas} 和 {o} ,其 周期 分 别 为 p 和 妨 。 当 
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时 钟 脉冲 和 


和 


图 2-17 最 简单 的 钟 探 序列 生成 器 



































LFSRI1 输出 1 时 , 移 位 时 钟 脉冲 通过 与 门 使 LFSR2 进行 一 次 移 位 ,从 而 生成 下 一 位 。 当 
LFSR1 输出 0 时 , 移 位 时 钟 脉冲 无 法 通过 与 门 影响 LFSR2。 因 此 LFSR2 重复 输出 前 一 
位 。 假 设 钟 控 序 列 {ci } 的 周期 为 p ,可 得 如 下 关系 : 


pip: 


gcd(w ,p2) 


又 设 {ar} 和 {64} 的 极 小 特征 多 项 式 分 别 为 GF(2) 上 的 m 入 n 次 本 原 多 项 式 f1 (x) 
和 f(z), 且 m |n。 因此 ,pi ==2" 一 1,ps= 二 2" 一 1]。 又 知 w= 二 2”!, 因此 gcd(wi,ps)=1， 
所 以 p= 二 pips= 二 (2" 一 1)(2" 一 1)。 

此 外 ,也 可 推导 出 {ci} 的 线性 复杂 度 为 n(2” 一 1) , 极 小 特征 多 项 式 为 f(x” )。 

【 例 2-8〗 设 LFSR1 为 3 级 mm 序 列 生成 器 ,其 特征 多 项 式 为 f(z) 二 1 十 x 十 x?。 设 
初 态 为 wo 一 w 一 az 一 1, 于 是 输出 序列 为 fae} 王 1,1,1,0,1,0,0,，… 

又 设 LFSR2 为 3 级 mm 序列 生成 器 , 且 记 其 状态 向 量 为 6 , 则 在 图 2-17 的 构造 下 wx 
的 变化 情况 如 下 : 


To 0 0 0 0 0 0 04 


Co CI 0 0 0 0 03 
6 05 06 06 0 Go … 
{cx} 的 周期 为 (2 一 1)?* 二 49, 在 它 的 一 个 周期 内 ,每 个 6 恰 出 现 7 次 。 
设 f(x) 二 1 十 ?十 x 为 LFSR2 的 特征 多 项 式 , 且 初 态 为 6 二 bb 二 bz 二 1, 则 {5} 二 
Lely ls0%0, LO 
由 ex 的 变化 情况 得 : 
{c1}=1,1,1,0,0,0,0,0, 
Ol 
oer, 
vs ddl lols 
0.0,.1,1,0.0,0， 
Lylslsl0s O00 
0s L05001s ls 
{cx} 的 极 小 特征 多 项 式 为 1 十 x"* 十 zx” ,其 线性 复杂 度 为 3. (2 一 1) 一 21, 图 2-18 是 
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其 线性 等 价 生 成 器 。 
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图 2-18 一 个 钟 控 序列 的 线性 等 价 生成 器 


实际 应 用 中 ,可 以 用 上 述 最 基本 的 钟 控 序 列 生成 器 构造 复杂 的 模型 ,具体 构造 方式 读 
者 可 参阅 有 关 文 献 。 

设计 一 个 性 能 良好 的 序列 密码 是 一 项 十 分 困难 的 任务 。 最 基本 的 设计 原则 是 “ 密 钥 
流 生成 器 的 不 可 预测 性 ”, 它 可 分 解 为 下 述 基 本 原则 : 

(1) 长 周期 。 

(2) 高 线性 复杂 度 。 

(3) 统计 性 能 良好 。 

(4) 足够 的 “混乱 ”。 

(5) 足够 的 “扩散 ”。 

(6) 抵抗 不 同形 式 的 攻击 。 


习 题 


1. 3 级 线性 反馈 移 位 寄存 器 在 cs =1 时 可 有 4 种 线性 反馈 函数 , 设 其 初始 状态 为 
(aazyas) 一 (1,0,1), 求 各 线性 反馈 函数 的 输出 序列 及 周期 。 

2. 设 n 级 线性 反馈 移 位 寄存 器 的 特征 多 项 式 为 p(z) ,初始 状态 为 (41 ,az ，…,av) 一 
(00…01) ,证 明 输出 序列 的 周期 等 于 p(xz) 的 阶 。 

3. 设 2 一 4,F(aiasas,a) 一 四 ws 由 1 四 cos ,初始 状态 为 (ayasyasya) 一 (1,1， 
0,1), 求 此 非 线性 反馈 移 位 寄存 器 的 输出 序列 及 周期 。 

4. 设 密 钥 流 是 由 mm 二 2s 级 LFSR 产生 ,其 前 m 十 2 个 比特 是 (01) , 即 * 十 1 个 01。 
问 第 m 十 3 个 比特 有 无 可 能 是 1, 为 什么 ? 

5. 设 密 钥 流 是 由 级 LFSR 产生 ,其 周期 为 2" 一 1,i 是 任 一 正 整数 ,在 密 钥 流 中 考虑 
以 下 比特 对 

SS 

问 有 多 少 形 如 (Si ,Sj41) 二 (1,1) 的 比特 对 ? 证 明 你 的 结论 。 

6. 已 知 流 密码 的 密 文 串 1010110110 和 相应 的 明文 串 0100010001, 而 且 还 已 知 密 铀 
流 是 使 用 三 级 线性 反馈 移 位 寄存 器 产生 的 , 试 破译 该 密码 系统 。 

7. 车 GF(2) 上 的 二 元 加 法 流 密 码 的 密 钥 生成 器 是 n 级 线性 反馈 移 位 寄存 器 ,产生 的 
密 钥 是 m 序列 。2. 5 节 已 知 ,敌手 车 知道 一 段 长 为 2n 的 明 密 文 对 就 可 破译 密 钥 流 生成 
器 。 如 果 敌 手 仅 知道 长 为 2n 一 2 的 明 密 文 对 , 问 如 何 破译 密 钥 流 生 成 器 。 

8. 设 JK 触发 器 中 {fax} 和 {5} 分 别 为 3 级 和 4 级 mm 序列 , 且 
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{ax} = 11101001110100… 
{6:}= 001011011011000001011011011000… 
求 输出 序列 {ci} 及 周期 。 
9. 设 基 本 钟 控 序列 产生 器 中 fax} 和 {5} 分 别 为 2 级 和 3 级 mx 序列 , 且 
{ax}= 101101… 
{64}= 10011011001101…- 
求 输出 序列 {c4} 及 周期 。 
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3 分 组 密码 概述 





在 许多 密码 系统 中 , 单 钥 分 组 密码 是 系统 安全 的 一 个 重要 组 成 部 分 ,用 分 组 密码 易于 
构造 伪 随 机 数 生成 器 \ 流 密码 、 消 息 认证 码 (MAC) 和 哈 希 函数 等 ,还 可 进而 成 为 消息 认证 
技术 ,数据 完整 性 机 制 、 实 体 认证 协议 以 及 单 钥 数 字符 字体 制 的 核心 组 成 部 分 。 实 际 应 用 
中 对 于 分 组 密码 可 能 会 提出 多 方面 的 要 求 , 除 了 安全 性 外 ,还 有 运行 速度 、 存 储量 (程序 的 
长 度 、 数 据 分 组 长 度 、 高 速 缓存 大 小 ) .实现 平台 (硬件 .软件 ,芯片 )` 运 行 模式 等 限制 条 件 。 
这 些 都 需要 与 安全 性 要 求 之 间 进 行 适当 的 折 中 选择 。 

分 组 密码 是 将 明文 消息 编码 表示 后 的 数字 序列 zo ,zz ，,… ,zx;,… 划 分 成 长 为 n 的 组 
三 (zosTis"…* ,Tn-1) ,各 组 (长 为 n 的 矢量 ) 分 别 在 密 钥 k 二 (ko ,ki ，…,k,-1) 控 制 下 变换 成 
等 长 的 输出 数字 序列 y 二 (yoyyi… ,ym-1)( 长 为 m 的 矢量 ), 其 加 密 函 数 E: V, XK 一 
VsVs 和 Vi 分别 是 n 维和 m 维 矢量 空间 ,K 为 密 钥 空间 ,如 图 3-1 所 示 。 它 与 流 密 码 的 
不 同 之 处 在 于 输出 的 每 一 位 数字 不 是 只 与 相应 时 刻 输 入 的 明文 数字 有 关 , 而 是 与 一 组 长 
为 n 的 明文 数字 有 关 。 在 相同 密 钥 下 ,分 组 密码 对 长 为 n 的 输入 明文 组 所 实施 的 变换 是 
等 同 的 ,所 以 只 需 研 究 对 任 一 组 明文 数字 的 变换 规则 。 这 种 密码 实质 上 是 字 长 为 n 的 数 
字 序 列 的 代 换 密码 。 


密 钥 =(ho, h,… ,1) 密 钥 本 (ko, hi,… , hi1) 


| | 


明文 一 一 | 加 密 算法 F 忆 了 | 解密 算法 一 一 一 明文 


(Cox ,1) 密 文王 Oo … ,ym1) (No, Xl Ni) 


图 3-1 分 组 密码 框图 
































通常 取 mm 二 n。 若 mm 二 2, 则 为 有 数据 扩展 的 分 组 密码 。 若 二 n, 则 为 有 数据 压缩 的 
分 组 密码 。 在 二 元 情况 下 ,x 和 y 均 为 二 元 数字 序列 ,它们 的 每 个 分 量 zi, y; € GF (2)。 
下 面 主要 讨论 二 元 情况 。 设 计 的 算法 应 满足 下 述 要 求 : 

(1) 分 组 长 度 要 足够 大 ,使 分 组 代 换 字母 表 中 的 元 素 个 数 2 足够 大 ,防止 明文 穷 举 
攻击 法 奏效 。DES、IDEA、FEAL 和 LOKI 等 分 组 密码 都 采用 二 64, 在 生日 攻击 下 用 2” 
组 密 文成 功 概率 为 1/2, 同 时 要 求 2*”X64 比特 一 25Mbyte 存储 , 故 采 用 穷 举 攻击 是 不 现 
实 的 。 

(2) 密 钥 量 要 足够 大 ( 即 置换 子 集中 的 元 素 足 够 多 ) , 尽 可 能 消除 弱 密 钥 并 使 所 有 密 
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钥 同 等 地 好 ,以 防止 密 钥 穷 举 攻击 奏效 。 但 密 钥 又 不 能 过 长 ,以 便于 密 钥 的 管理 。DES 
采用 56 比特 密 钥 ,现在 看 来 太 短 了 ,IDEA 采用 128 比特 密 钥 , 据 估 计 , 在 今后 30 一 40 年 
内 采用 80 比特 密 钥 是 足够 安全 的 。 

(3) 由 密 钥 确定 置换 的 算法 要 足够 复杂 ,充分 实现 明文 与 密 钥 的 扩散 和 混淆 ,没有 简 
单 的 关系 可 循 ,能 抗击 各 种 已 知 的 攻击 ,如 差分 攻击 和 线性 攻击 ;有 高 的 非 线 性 阶 数 ,实现 
复杂 的 密码 变换 ;使 对 手 破 译 时 除了 用 穷 举 法 外 ,无 其 他 捷径 可 循 。 

(4) 加 密 和 解密 运算 简单 ,易于 软件 和 硬件 高 速 实现 。 如 将 分 组 n 划分 为 子 段 , 每 段 
长 为 8、16 或 者 32。 在 以 软件 实现 时 ,应 选用 简单 的 运算 ,使 作用 于 子 段 上 的 密码 运算 易 
于 以 标准 处 理 器 的 基本 运算 ,如 加 、 乘 、 移 位 等 实现 ,避免 使 用 以 软件 难以 实现 的 逐 比特 置 
换 。 为 了 便于 硬件 实现 ,加 密 和 解密 过 程 之 间 的 差别 应 仅 在 于 由 秘密 密 钥 所 生成 的 密 钥 表 
不 同 而 已 。 这 样 ,加 密 和 解密 就 可 使 用 同一 器 件 实现 。 设 计 的 算法 采用 规则 的 模块 结构 ,如 
多 轮 迭 代 等 ,以 便于 软件 和 VLSI 快速 实现 。 此 外 ,差错 传播 和 数据 扩展 要 尽 可 能 小 。 

(5) 数据 扩展 尽 可 能 小 。 一 般 无 数据 扩展 ,在 采用 同 态 置换 和 随机 化 加 密 技术 时 可 
引入 数据 扩展 。 

(6) 差错 传播 尽 可 能 小 。 

要 实现 上 述 几 点 要 求 并 不 容易 。 首 先 ,要 在 理论 上 研究 有 效 而 可 靠 的 设计 方法 ,而 后 
进行 严格 的 安全 性 检验 ,并 且 要 易于 实现 。 

下 面 介绍 设计 分 组 密码 的 一 些 常用 方法 。 


311 代 换 


如 果 明 文 和 密 文 的 分 组 长 都 为 比特 , 则 明文 的 每 一 个 分 组 都 有 2" 个 可 能 的 取 值 。 
为 使 加 密 运算 可 首 ( 使 解密 运算 可 行 ) ,明文 的 每 一 个 分 组 都 应 产生 唯一 的 一 个 密 文 分 组 ， 
这 样 的 变换 是 可 逆 的 , 称 明文 分 组 到 密 文 分 组 的 可 道 变换 为 代 换 。 不 同 可 逆 变 换 的 个 数 
有 2"! 个 。 

图 3-2 表示 nn 二 4 的 代 换 密码 的 一 般 结构 ,4 比特 输入 产生 16 个 可 能 输入 状态 中 的 





















































4 比特 输入 
| | | | 
0 1 2 3 4 5 6 7 8 9 10 1 12 13 14 15| 
1 1 1 1 1 1T 1 1 1 1 
0 1 名 和 0 四 
| opm | | 
图 3-2 代 换 结构 
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一 个 ,由 代 换 结构 将 这 一 状态 映射 为 16 个 可 能 输出 状态 中 的 一 个 ,每 一 输出 状态 由 4 个 
密 文 比特 表示 。 加 密 映 射 和 解密 映射 可 由 代 换 表 来 定义 ,如 表 3-1 所 示 。 这 种 定义 法 是 
分 组 密码 最 常用 的 形式 ,能 用 于 定义 明文 和 密 文 之 间 的 任何 可 逆 映 射 。 


表 3-1 与 图 3-2 对 应 的 代 换 表 





明文 密 文 明文 ” 密 文 密 文 “明文 密 文 明文 
0000 1110 1000 0011 0000 1110 1000 0111 
0001 0100 1001 1010 0001 0011 1001 1101 
0010 1101 1010 0110 0010 0100 1010 1001 
0011 0001 1011 1100 0011 1000 1011 0110 
0100 0010 1100 0101 0100 0001 1100 1011 
0101 1111 1101 1001 0101 1100 1101 0010 
0110 1011 1110 0000 0110 1010 1110 0000 
0111 1000 1111 0111 0111 1111 1111 0101 














但 这 种 代 换 结构 在 实用 中 还 有 一 些 问 题 需 考 虑 。 如 果 分 组 长 度 太 小 ,如 一 4, 系 统 
则 等 价 于 古典 的 代 换 密码 ,容易 通过 对 明文 的 统计 分 析 而 攻破 。 这 个 弱点 不 是 代 换 结构 
固有 的 ,只 是 因为 分 组 长 度 太 短 。 如 果 分 组 长 度 足够 大 ,而 且 从 明文 到 密 文 可 有 任意 可 
逆 的 代 换 ,那么 明文 的 统计 特性 将 被 隐藏 而 使 以 上 的 攻击 不 能 奏效 。 

然而 ,从 实现 的 角度 来 看 ,分 组 长 度 很 大 的 可 逆 代 换 结构 是 不 实际 的 。 仍 以 表 3-1 为 
例 , 该 表 定 义 了 n= 二 4 时 从 明文 到 密 文 的 一 个 可 道 映射 ,其 中 第 二 列 是 每 个 明文 分 组 对 应 
的 密 文 分 组 的 值 ,可 用 来 定义 这 个 可 逆 映 射 。 因 此 从 本 质 上 来 说 ,第 二 列 是 从 所 有 可 能 的 
映射 中 决定 某 一 特定 映射 的 密 钥 。 在 这 个 例子 中 , 密 钥 需要 64 比特 。 一 般 , 对 比特 的 
代 换 结构 , 密 钥 的 大 小 是 nX2" 比特 。 如 对 64 比特 的 分 组 , 密 钥 大 小 应 是 64X2% 一 2 一 
102 比特 ,因此 难以 处 理 。 实 际 中 常 将 分 成 较 小 的 段 ,例如 可 选 n 二 r， mw, 其 中 +r 和 no 
都 是 正 整数 ,将 设计 ?个 变量 的 代 换 变 为 设计 > 个 较 小 的 子 代 换 ,而 每 个 子 代 换 只 有 no。 
个 输入 变量 。 一 般 m 都 不 太 大 , 称 每 个 子 代 换 为 代 换 盒 ,简称 为 S 盒 。 例 如 DES 中 将 输 
入 为 48 比特、 输出 为 32 比特 的 代 换 用 8 个 S 盒 来 实现 ,每 个 S 盒 的 输入 端 数 仅 为 6 比 
特 , 输 出 端 数 仅 为 4 比特 。 


312 扩散 和 混淆 


扩散 和 混淆 是 由 Shannon 提出 的 设计 密码 系统 的 两 个 基本 方法 ,目的 是 抗击 敌手 对 
密码 系统 的 统计 分 析 。 如 果 敌 手 知道 明文 的 某 些 统计 特性 ,如 消息 中 不 同 字母 出 现 的 频 
率 ,或 可 能 出 现 的 特定 单词 或 短语 ,而 且 这 些 统计 特性 以 某 种 方式 在 密 文 中 反映 出 来 , 敌 
手 就 有 可 能 得 出 加 密 密 钥 或 其 一 部 分 ,或 包含 加 密 密 钥 的 一 个 可 能 密 钥 集合 。 在 
Shannon 称 之 为 理想 密码 的 密码 系统 中 , 密 文 的 所 有 统计 特性 都 与 所 使 用 的 密 钥 独立 。 
图 3-2 讨论 的 代 换 密码 就 是 这 样 的 一 个 密码 系统 ,然而 是 不 实用 的 。 

所 谓 扩散 ,就 是 将 明文 的 统计 特性 散布 到 密 文 中 去 ,实现 方式 是 使 得 密 文中 每 一 位 由 
明文 中 多 位 产生 。 例 如 ,对 英文 消息 M 一 mazzzzs… 的 加 密 操 作 
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天 
y, = chr( >)ord(m,i) (mod 26)) 


其 中 ord(mi) 是 求 字 母 m; 对 应 的 序号 ,chr(i) 是 求 序号 i 对 应 的 字母 , 密 文字 母 w 是 由 
明文 中 & 个 连续 的 字母 相 加 而 得 。 这 时 明文 的 统计 特性 将 被 散布 到 密 文 ,因而 每 一 字母 
在 密 文 中 出 现 的 频率 比 在 明文 中 出 现 的 频率 更 接近 于 相等 , 双 字母 及 多 字母 出 现 的 频率 
也 更 接近 于 相等 。 在 二 元 分 组 密码 中 ,可 对 数据 重复 执行 某 个 置换 再 对 这 一 置换 作用 以 
一 个 函数 , 便 可 获得 扩散 。 

分 组 密码 在 将 明文 分 组 依靠 密 钥 变换 到 密 文 分 组 时 ,扩散 的 目的 是 使 明文 和 密 文 之 
间 的 统计 关系 变 得 尽 可 能 复杂 ,以 使 敌手 无 法 得 到 密 钥 。 混 淆 是 使 密 文 和 密 钥 之 间 的 统 
计 关 系 变 得 尽 可 能 复杂 ,以 使 敌手 无 法 得 到 密 钥 。 因 此 即使 敌手 能 得 到 密 文 的 一 些 统计 
关系 ,由 于 密 钥 和 密 文 之 间 统 计 关系 复杂 化 ,敌手 无 法 得 到 密 钥 。 使 用 复杂 的 代 换算 法 可 
得 预期 的 混淆 效果 ,而 简单 的 线性 代 换 函数 得 到 的 混淆 效果 不 够 理想 。 

扩散 和 混淆 成 功 地 实现 了 分 组 密码 的 本 质 属性 ,因而 成 为 设计 现代 分 组 密码 的 基础 。 


313 Feistel 密码 结构 


很 多 分 组 密码 的 结构 从 本 质 上 说 都 是 基于 一 个 称 为 Feistel 网 络 的 结构 。Feistel 提 
出 利用 乘积 密码 可 获得 简单 的 代 换 密码 ,乘积 密码 指 顺序 地 执行 两 个 或 多 个 基本 密码 系 
统 , 使 得 最 后 结果 的 密码 强度 高 于 每 个 基本 密码 系统 产生 的 结果 ,Feistel 还 提出 了 实现 
代 换 和 置换 的 方法 。 其 思想 实际 上 是 Shannon 提出 的 利用 乘积 密码 实现 混淆 和 扩散 思 
想 的 具体 应 用 。 


1. Feistel 加 密 结构 
图 3-3 是 Feistel 网 络 示意 图 ,加 密 算法 的 输入 是 分 组 长 为 2w 的 明文 和 一 个 密 钥 KK 。 
将 每 组 明文 分 成 左右 两 半 L。 和 Ru ,在 进行 完 n 轮 迭 代 后 ,左右 两 半 再 合并 到 一 起 以 产生 
密 文 分 组 。 其 第 i 轮 迭 代 的 输入 为 前 轮 输 出 的 函数 : 
L; = Ri 
Ri = Li 四 FOR ,Ki) 
其 中 K; 是 第 i 轮 用 的 子 密 钥 ,由 加 密 密 钥 K 得 到 。 一 般 , 各 轮子 密 钥 彼此 不 同 而 且 与 开 
也 不 同 。 
Feistel 网 络 中 每 轮 结构 都 相同 ,每 轮 中 右 半 数据 被 作用 于 轮 函数 下 后 ,再 与 左 半数 
据 进行 异 或 运算 ,这 一 过 程 就 是 上 面 介 绍 的 代 换 。 每 轮 轮 函数 的 结构 都 相同 ,但 以 不 同 的 
子 密 钥 K; 作为 参数 。 代 换 过 程 完成 后 ,再 交换 左 、 右 两 半数 据 , 这 一 过 程 称 为 置换 。 这 
种 结构 是 Shannon 提出 的 代 换 -置换 网 络 (Substitution-Permutation Network,SPN) 的 特 
有 形式 。 
Feistel 网 络 的 实现 与 以 下 参数 和 特性 有 关 : 
(1) 分 组 大 小 。 分 组 越 大 则 安全 性 越 高 ,但 加 密 速度 就 越 慢 。 分 组 密码 设计 中 最 为 
普遍 使 用 的 分 组 大 小 是 64 比特 。 
(2) 密 钥 大 小 。 密 钥 越 长 则 安全 性 越 高 ,但 加 密 速 度 就 越 慢 。 现 在 普遍 认为 64 比特 
或 更 短 的 密 钥 是 不 安全 的 ,通常 使 用 128 比特 长 的 密 钥 。 
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图 3-3 ”Feistel 网 络 


(3) 轮 数 。 单 轮 结构 远 不 足以 保证 安全 性 ,多 轮 结构 可 提供 足够 的 安全 性 。 典 型 地 ， 
轮 数 取 为 16 。 

(4) 子 密 钥 产生 算法 。 该 算法 的 复杂 性 越 高 , 则 密码 分 析 的 困难 性 就 越 大 。 

(5) 轮 函 数 。 轮 函数 的 复杂 性 越 高 ,密码 分 析 的 困难 性 也 越 大 。 

在 设计 Feistel 网 络 时 ,还 要 考虑 以 下 两 个 问题 : 

(1) 快速 的 软件 实现 。 在 很 多 情况 下 ,算法 是 被 镶嵌 在 应 用 程序 中 ,因而 无 法 用 硬件 
实现 。 此 时 算法 的 执行 速度 是 考虑 的 关键 。 

(2) 算法 容易 分 析 。 如 果 算 法 能 被 无 疑义 地 解释 清楚 ,就 可 容易 地 分 析 算 法 抵抗 攻 
击 的 能 力 , 有 助 于 设计 高 强度 的 算法 。 


2 Feistel 解密 结构 

Feistel 解密 过 程 本 质 上 和 加 密 过 程 是 一 样 的 ,算法 使 用 密 文 作为 输入 ,但 使 用 子 密 
钥 K; 的 次 序 与 加 密 过 程 相 反 , 即 第 一 轮 使 用 K, ,第 二 轮 使 用 KK,_, ,一 直下 去 ,最 后 一 轮 
使 用 K,。 这 一 特性 保证 了 解密 和 加 密 可 采用 同一 算法 。 

图 3-4 的 左边 表示 16 轮 Feistel 网 络 的 加 密 过 程 , 右 边 表示 解密 过 程 ,加 密 过 程 由 上 
而 下 ,解密 过 程 由 下 而 上 。 为 清楚 起 见 , 加 密 算 法 每 轮 的 左右 两 半 用 LE; 和 RE; 表示 , 解 
密 算法 每 轮 的 左右 两 半 用 LD; 和 RD, 表示 。 图 中 右边 标 出 了 解密 过 程 中 每 一 轮 的 中 间 
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值 与 左边 加 密 过 程 中 间 值 的 对 应 关系 , 即 加 密 过 程 第 i 轮 的 输出 是 LE; ‖ RE;( || 表示 链 
接 ) ,解密 过 程 第 16 一 i 轮 相应 的 输入 是 RD; | LD;。 





















































































































































输入 (明文 ) 输出 (明文 ) 
ee i RDie-LEo LDIe=REW 
1 | 
OD- Fh 
RE, hi 本 LDe=REW RDIe=LE 
一 | 记 
EE -|F -| 
1LE: RE RD1s=LE, tx LDi=RE,| 
LE RE Or T 一 
oj- i LDis=RE, | K;, RD,s=LE;, 
RE's Ke LE hLDA=RE, RD,=LEah 
-| | 
LE'e REe RDI=LE's Ks LDI=REs 
中 - Fh 
人 pi=RE。 fxg RDi=LEA 
RE LE' 
输出 ( 密 文 ) 输入 ( 密 文 ) 
图 3-4 ”Feistel 加 解密 过 程 
加 密 过 程 的 最 后 一 轮 执 行 完 后 ,两 半 输 出 再 经 交换 ,因此 密 文 是 REws ‖ LEe。 解 密 





过 程 取 以 上 密 文 作为 同一 算法 的 输入 , 即 第 一 轮 输 入 是 RE ‖ LE ,等 于 加 密 过 程 第 
16 轮 两 半 输 出 交换 后 的 结果 。 现 在 显示 解密 过 程 第 一 轮 的 输出 等 于 加 密 过 程 第 16 轮 输 


入 左右 两 半 的 交换 值 。 
在 加 密 过 程 中 : 
LE's = RE's 
RE = LE's © F(RE's ,K's) 
在 解密 过 程 中 : 


LD, =RD, = LE = RE's 
RD, =LD, ® F(RD,, Kis) = RE ® F(RE's ,Kie) 
一 [LEis © F(RE:s, Ki)]® F(REs ,Kis) 
=LEs 
所 以 解密 过 程 第 一 轮 的 输出 为 LEi | REis ,等 于 加 密 过 程 第 16 轮 输 入 左右 两 半 交 
换 后 的 结果 。 容 易 证 明 这 种 对 应 关系 在 16 轮 中 每 轮 都 成 立 。 一 般 ,加 密 过 程 的 第 i 
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轮 有 : 
i = 
RE, = LE ® FORE ,Ki) 
因此 
RE := LE 
LE = RE; ® F(RE.1,K;) = RE; 四 F(LE;.K;) 
以 上 两 式 描述 了 加 密 过 程 中 第 i 轮 的 输入 与 第 i 轮 输 出 的 函数 关系 ,由 此 关系 可 得 图 3-4 
右边 显示 的 LD; 和 RD; 的 取 值 关系 。 
最 后 可 以 看 到 ,解密 过 程 最 后 一 轮 的 输出 是 RE, | LE ,左右 两 半 再 经 一 次 交换 后 即 
得 最 初 的 明文 。 


3.2 ”数据 加 密 标准 





DES(Data Encryption Standard) 是 迄今 为 止 世界 上 最 为 广泛 使 用 和 流行 的 一 种 分 组 
密码 算法 , 它 的 分 组 长 度 为 64 比特 , 密 钥 长 度 为 56 比特 , 它 是 由 美国 IBM 公司 研制 的 ， 
是 早期 的 称 作 Lucifer 密码 的 一 种 发 展 和 修改 。DES 在 1975 年 3 月 17 日 首次 被 公布 在 
联邦 记录 中 ,在 做 了 大 量 的 公开 讨论 后 于 1977 年 1 月 15 日 正式 批准 并 作为 美国 联邦 信 
息 处 理 标准 , 即 FIPS-46 ,同年 7 月 15 日 开始 生效 。 规 定 每 隔 5 年 由 美国 国家 保密 局 
(National Security Agency,NSA) 作 出 评估 ,并 重新 批准 它 是 否 继续 作为 联邦 加 密 标 准 。 
最 后 一 次 评估 是 在 1994 年 1 月 ,美国 已 决定 1998 年 12 月 以 后 将 不 再 使 用 DES。 
1997 年 ,DESCHALL 小 组 经 过 近 4 个 月 的 努力 ,通过 Internet 搜索 了 3X10* 个 密 钥 , 找 
出 了 DES 的 密 钥 ,恢复 出 了 明文 。1998 年 5 月 美国 EFF (Electronics Frontier 
Foundation) 宣 布 ,他们 将 一 台 价 值 20 万 美元 的 计算 机 改装 成 的 专用 解密 机 ,用 56 小 时 
破译 了 56 比特 密 钥 的 DES。 美 国 国家 标准 和 技术 协会 已 征集 并 进行 了 几 轮 评估 筛选 ， 
产生 了 称 为 AES(Advanced Encryption Standard) 的 新 加 密 标准 。 尽 管 如 此 ,DES 对 于 
推动 密码 理论 的 发 展 和 应 用 起 了 重大 作用 ,对 于 掌握 分 组 密码 的 基本 理论 .设计 思想 和 实 
际 应 用 仍然 有 着 重要 的 参考 价值 ,下 面 是 这 一 算法 的 描述 。 


321 DES 描述 


图 3-5 是 DES 加 密 算 法 的 框图 ,其 中 明文 分 组 长 为 64 比特 , 密 钥 长 为 56 比特 。 图 
的 左边 是 明文 的 处 理 过 程 , 有 3 个 阶段 ,首先 是 一 个 初始 置换 IP, 用 于 重 排 明 文 分 组 的 
64 比特 数据 。 然 后 是 具有 相同 功能 的 16 轮 变 换 , 每 轮 中 都 有 置换 和 代 换 运算 ,第 16 轮 
变换 的 输出 分 为 左右 两 半 , 并 被 交换 次 序 。 最 后 再 经 过 一 个 道 初始 置换 IP-: (为 IP 的 
道 ) 从 而 产生 64 比特 的 密 文 。 除 初始 置换 和 逆 初 始 置换 外 ,DES 的 结构 和 图 3-3 所 示 的 
Feistel 密码 结构 完全 相同 。 

图 3-5 的 右边 是 使 用 56 比特 密 钥 的 方法 。 密 钥 首 先 通过 一 个 置换 函数 ,然后 ,对 加 
密 过 程 的 每 一 轮 ,通过 一 个 左 循环 移 位 和 一 个 置换 产生 一 个 子 密 钥 。 其 中 每 轮 的 置换 都 
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3-5 ”DES 加 密 算法 框图 


相同 ,但 由 于 密 钥 被 重复 迷 代 ,所 以 产生 的 每 轮子 密 钥 不 相同 。 


1. 初始 置换 
表 3-2(a) 和 表 3-2(b) 分 别 给 出 了 初始 置换 和 逆 初 始 置换 的 定义 ,为 了 显示 这 两 个 置 


换 的 确 是 彼此 互 逆 的 ,考虑 下 面 64 比特 的 输入 M: 


50 
52 
54 
56 
49 
51 
53 
55 





(a) 初始 置换 IP 
34 26 18 
36 28 20 
38 30 22 
40 32 24 
33 25 17 
35 27 19 
37 29 21 
39 31 23 


表 3-2 DES 的 置换 表 


(c) 选择 扩展 运算 已 


Wwwrmoo 中 
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(b) 逆 初 始 置换 ITP- 
48 16 56 24 
47 15 55 23 
46 14 54 22 
45 13 53 21 
44 12 52 20 
43 11 51 19 


42 10 50 18 

41 久 i 
(d) 置换 运算 P 
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如 果 再 取 逆 初始 置换 Y=IP-:(CX)=IP-:(CIPCM)), 可 以 看 出 ,M 各 位 的 初始 顺序 将 被 
恢复 。 

















2 轮 结构 
图 3-6 是 DES 加 密 算法 的 轮 结构 ,首先 看 图 的 左 半 部 分 。 将 64 比特 的 轮 输 入 分 为 
32H 特 。 32 比特 。 28 比 特 28 比 特 
Li Ri CH Di 




















































































































图 3-6 DES 加 密 算 法 的 轮 结 构 


eg 第 3 章 


分 组 密码 体制 


各 为 32 比特 的 左 、 右 两 半 , 分 别 记 为 L 和 R。 和 Feistel 网 络 一 样 ,每 轮 变 换 可 由 以 下 公 


式 表示 : 


该 输出 再 经 过 一 个 由 表 3-2(d) 定 义 的 息 换 ,产生 的 结果 即 为 函数 F(R,K) 的 输出 。 


L; = Ri 


R= Le BD F(RiEssK) 

其 中 轮 密 钥 K; 为 48 比特 ,函数 F(R,K) 的 计算 如 图 3-7 所 示 。 轮 输入 的 右 半 部 分 RR 
为 32 比特 ,R 首先 被 扩展 成 48 比特 ,扩展 过 程 由 表 3-2(c) 定 义 , 其 中 将 R 的 16 个 比特 各 重 
复 一 次 。 扩 展 后 的 48 比特 再 与 子 密 钥 K; 异 或 ,然后 再 通过 一 个 S 盒 ,产生 32 比特 的 输出 。 
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3-7 函数 F(R,K) 的 计算 过 程 


下 中 的 代 换 由 8 个 S 盒 组 成 ,每 个 S 盒 的 输入 长 为 6 比特 、 和 输出 长 为 4 比特 ,其 变换 
关系 由 表 3-3 定义 ,每 个 S 盒 给 出 了 4 个 代 换 (由 一 个 表 的 4 行 给 出 ) 。 


表 3-3 DES 的 S 盒 定义 




















0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 
i 0 15 时 4 14 2 13 1 10 6 12 11 9 5 3 8 
本 2 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 
3 15 12 8 2 4 9 1 VA 5 11 3 14 10 0 6 13 
0 15 1 8 14 6 11 3 4 9 党 2 13 12 0 5 10 
3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 
本 2 0 14 和 11 10 4 13 1 5 8 12 6 9 3 2 15 
3 13 8 10 1 3 15 4 2 11 6 和 12 0 5 14 9 
0 10 0 9 14 6 3 15 5 1 13 12 11 4 2 8 
1 13 0 9 3 4 6 10 2 8 5 14 12 11 15 1 
2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7 
3 1 10 13 0 6 9 8 vg 4 15 14 3 11 5 2 12 
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续 表 
列 
行 0 1 2 3 4 5 6 7 8 9 0 1 了 3 双 后 
0 7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15 
. | 13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9 
" 2 |10 6 9 0 12 1 7 13 15 3 14 5 2 8 4 
3 3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14 
0 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9 
s, 4 14 11 2 12 4 i， 5 0 15 10 3 9 8 6 
2 4 2 1 11 10 13 7 8 15 9 3 5 6 3 0 14 
3 |11 8 12 和 1 14 2 13 6 15 0 8 10 玫 5 3 
0 12 1 1 35 9 2 6 8 0 13 3 4 14 7 5 1 
S， 10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8 
2 9 14 15 5 2 8 12 3 7 0 4 10 43- 对 6 
3 3 2 12 9 5 的 芭 6 0 8 13 
0 4 11 2 14 15 0 8 3 3 1 9 7 5 10 6 1 
s, 1 13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 
2 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2 
3 :1 1 8 1 4 10 7 9 5 0 15 14 2 3 12 
0 13 2 8 4 6 15 11 1 10 9 3 14 5 9. 让 7 
s, 1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2 
2 7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8 
3 2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11 
对 每 个 盒 S; ,其 6 比特 输入 中 ,第 1 个 和 第 6 个 比特 形成 一 个 2 位 二 进 制 数 ,用 来 选 
择 Si 的 4 个 代 换 中 的 一 个 。 在 6 比特 输入 中 ,中 间 4 位 用 来 选择 列 。 行 和 列 选 定 后 ,得 到 


其 交叉 位 置 的 十 进 制 数 ,将 这 个 数 表示 为 4 位 二 进 制 数 即 得 这 一 S 盒 的 输出 。 例 如 ,Si 
的 输入 为 011001 , 行 选 为 01( 即 第 1 行 ), 列 选 为 1100( 即 第 12 列 ) ,行列 交叉 位 置 的 数 为 
9, 其 4 位 二 进 制 表 示 为 1001, 所 以 Si 的 输出 为 1001 。 

S 盒 的 每 一 行 定 义 了 一 个 可 逆 代 换 , 图 3-2( 在 3.1.1 节 ) 表 示 Si 第 0 行 所 定义 的 
代 换 。 


3. 密 钥 的 产生 

再 看 图 3-5 和 图 3-6, 输 入 算法 的 56 比特 密 钥 首先 经 过 一 个 置换 运算 ,该 置换 由 
表 3-4(a) 给 出 ,然后 将 置换 后 的 56 比特 分 为 各 为 28 比特 的 左 、 右 两 半 , 分 别 记 为 Co 和 
D。。 在 第 i 轮 分 别 对 Ci_1 和 Di-;: 进 行 左 循环 移 位 ,所 移 位 数 由 表 3-4(c) 给 出 。 移 位 后 的 
结果 作为 下 一 轮 求 子 密 钥 的 输入 ,同时 也 作为 置换 选择 2 的 输入 。 通 过 置换 选择 2 产生 
的 48 比特 的 KK;, 即 为 本 轮 的 子 密 钥 ,作为 函数 F(R;_1.K;) 的 输入 。 其 中 置换 选择 2 由 
表 3-4(b) 定 义 。 
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表 3-4 DES 密 钥 编排 中 使 用 的 表 





(a) 置换 选择 1 (b) 置换 选择 2 
PC-1 PC-2 
57 | 49 | 41 | 33 | 25 | 17 9 14 17 11 24 1 5 
1|58|50| 42 | 34| 26 |18 3 28 15 6 21 10 
10 2|59|51 | 43| 35 |27 23 19 12 4 26 8 
19. | .五 3 |160 |52 | 44 |36 16 7 2 20 13 2 
63 | 55 | 47|39 |31|23 |15 41 52 31 37 47 55 
7 | 62 |54|46 |38 | 3 |22 30 40 51 45 33 48 
14 6 | 61|53|45|37 |29 44 49 39 56 34 53 


21 13 5 28 20 12 4 46 42 50 36 29 32 








4 解密 
和 Feistel 密码 一 样 ,DES 的 解密 和 加 密使 用 同一 算法 ,但 子 密 钥 使 用 的 顺序 相反 。 


322 二 重 DES 


为 了 提高 DES 的 安全 性 ,并 利用 实现 DES 的 现 有 软 硬 件 ,可 将 DES 算法 在 多 密 钥 
下 多 重 使 用 。 
二 重 DES 是 多 重 使 用 DES 时 最 简单 的 形式 ,如 图 3-8 所 示 。 其 中 明文 为 已 ,两 个 加 
密 密 钥 为 Ki 和 K; , 密 文 为 : 
C= Ex,LExr, [LP]] 
解密 时 ,以 相反 顺序 使 用 两 个 密 钥 : 
P = Dr [Dx, [CJ] 
因此 ,二 重 DES 所 用 密 钥 长 度 为 112 比特 ,强度 极 大 增加 。 然 而 ,如 果 对 任意 两 个 密 钥 
K, 和 K, ,能 够 找 出 另 一 密 钥 K; ,使 得 
Ex, [LEr, LE 一 Exr, [PJ 


上 四 



































Pp 一 x -| 让 C_ 
(a) 加 密 
* 
Cc 一方 二 -| 
(b) 解密 


图 3-8 二 重 DES 
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那么 ,二 重 DES 以 及 多 重 DES 都 没有 意义 ,因为 它们 与 56 比特 密 钥 的 单 重 DES 等 价 。 

但 上 式 对 DES 并 不 成 立 。 将 DES 加 密 过 程 64 比特 分 组 到 64 比特 分 组 的 映射 看 作 
一 个 置换 ,如 果 考 虑 2* 个 所 有 可 能 的 输入 分 组 , 则 给 定 密 钥 后 ,DES 的 加 密 将 把 每 个 输 
入 分 组 映射 到 一 个 唯一 的 输出 分 组 。 否 则 ,如 果 有 两 个 输入 分 组 被 映射 到 同一 分 组 , 则 解 
密 过 程 就 无 法 实施 。 对 2 个 输入 分 组 ,总 映射 个 数 为 (2%)! 过 (10 ) 。 

另 一 方面 ,对 每 个 不 同 的 密 钥 ,DES 都 定义 了 一 个 映射 ,总 映射 数 为 2 一 107 。 

因此 ,可 假定 用 两 个 不 同 的 密 钥 两 次 使 用 DES, 可 得 一 个 新 映射 ,而 且 这 一 新 映射 不 
出 现在 单 重 DES 定义 的 映射 中 。 这 一 假定 已 于 1992 年 被 证 明 。 所 以 使 用 二 重 DES 产 
生 的 映射 不 会 等 价 于 单 重 DES 加 密 。 但 对 二 重 DES 有 以 下 一 种 称 为 中 途 相遇 攻击 的 攻 
击 方案 ,这 种 攻击 不 依赖 于 DES 的 任何 特性 ,因而 可 用 于 攻击 任何 分 组 密码 。 其 基本 思 
想 如 下 : 

如 果 有 

C= Ex, [Exr, ER 
那么 ( 见 图 3-8) 
X= Er, [P] es Dx, LC] 

如 果 已 知 一 个 明文 密 文 对 (P,C) ,攻击 的 实施 可 如 下 进行 : 首先 ,用 2* 个 所 有 可 能 的 K， 
对 PP 加密, 将 加 密 结果 存 人 一 个 表 中 并 对 该 表 按 X 排序 ,然后 用 2”* 个 所 有 可 能 的 K。 对 
C 解密 ,在 上 述 表 中 查找 与 C 解密 结果 相 匹 配 的 项 ,如 果 找 到 , 则 记 下 相应 的 K! 和 K，。 
最 后 再 用 一 个 新 的 明文 密 文 对 (P',C ) 检 验 上 面 找到 的 K 和 K;, 用 K, 和 K, 对 P' 两 次 
加 密 , 若 结果 等 于 C' ,就 可 确定 K, 和 Ks 是 所 要 找 的 密 钥 。 

对 已 知 的 明文 P, 二 重 DES 能 产生 2 个 可 能 的 密 文 。 而 可 能 的 密 钥 个 数 为 222 ,所 
以 平均 来 说 ,对 一 个 已 知 的 明文 ,有 20272% 一 28 个 密 钥 可 产生 已 知 的 密 文 。 而 再 经 过 另 
外 一 对 明文 密 文 的 检验 , 误 报 率 将 下 降 到 2*-“ 二 2-*。 所 以 在 实施 中 途 相遇 攻击 时 ,如 
果 已 知 两 个 明文 密 文 对 , 则 找到 正确 密 钥 的 概率 为 1 一 2 。 
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抵抗 中 途 相遇 攻击 的 一 种 方法 是 使 用 3 个 不 同 的 密 钥 做 3 次 加 密 , 从 而 可 使 已 知 明 
文 攻击 的 代价 增加 到 2”。 然 而 ,这 样 又 会 使 密 钥 长 度 增加 到 56X3==168 比特 ,因而 过 
于 笨重 。 一 种 实用 的 方法 是 仅 使 用 两 个 密 钥 做 三 次 加 密 , 实 现 方式 为 加 密 一 解密 一 加 密 ， 
简 记 为 EDE(Encrypt-Decrypt-Encrypt) ,如 图 3-9 所 示 , 即 : 
C= Ex, LDx, [LEx, LPJJJ 
第 2 步 解 密 的 目的 仅 在 于 使 得 用 户 可 对 一 重 DES 加 密 的 数据 解密 。 
此 方案 已 在 密 钥 管理 标准 ANS X. 917 和 ISO 8732 中 被 采用 。 
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3 个 密 钥 的 三 重 DES 密 钥 长 度 为 168 比特 ,加 密 方式 为 
C= Er, LDx, LEx, LP]I 
令 天 3 一 天 ， 或 Ki=K, ; 则 变 为 重 DES。 
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PR 4 B 人 
-| EE ~ DD ~ EE = 
(a) 加 密 
加 上 片 
起 B 4 Pp 
(b) 解密 


3-9 两 个 密 钥 的 三 重 DES 


3 个 密 钥 的 三 重 DES 已 在 因特网 的 许多 应 用 (如 PGP 和 S/MIME) 中 被 采用 。 


3.3 差分 密码 分 析 与 线性 密码 分 析 





33.1 差分 密码 分 析 


差分 密码 分 析 是 迄今 已 知 的 攻击 迭代 密码 最 有 效 的 方法 之 一 ,其 基本 思想 是 : 通过 
分 析 明 文 对 的 差 值 对 密 文 对 的 差 值 的 影响 来 恢复 某 些 密 钥 比特 。 
对 分 组 长 度 为 n 的 x 轮 迭 代 密码 ,两 个 比特 串 Y; 和 Yi 的 差分 定义 为 : 
AY =Y,@Y:™ 
其 中 @ 表 示 n 比特 串 集 上 的 一 个 特定 群 运算 ,Y; 一 表示 Y” 在 此 和 群 中 的 逆 元 。 
由 加 密 对 可 得 差分 序列 : 
AYovAY ry AY 
其 中 Y。 和 Ys 是 明文 对 ,Y; 和 Y? (1 二 i 志 让 ) 是 第 i 轮 的 输出 ,它们 同时 也 是 第 i 十 1 轮 的 
输入 。 第 i 轮 的 子 密 钥 记 为 K;.F 是 轮 函数 , 且 Y; 二 F(Y;_1,K;)。 
定义 3-1 rr- 轮 特征 (r-round characteristic)Q 是 一 个 差分 序列 : 
Qo sal OQ, 
其 中 oo 是 明文 对 Y。 和 YY? 的 差分 ,a;(1 志 i 过) 是 第 i 轮 输出 Y; 和 Y; 的 差分 。 
定义 3-2 在 rr- 轮 特征 0 二 ao a,…,a, 中 ,定义 
p? = P(AF(Y) = a; | AY = ai) 
即 p? 表示 在 输入 差分 为 a;_1 的 条 件 下 , 轮 函 数 下 的 输出 差分 为 a; 的 概率 。 
定义 3-3 广 轮 特征 0 二 ao ,wm ,… ,a, 的 概率 p? 定 义 为 : 
p? = ll 
对 一 轮 和 迭代 密码 的 差分 密码 分 析 可 综述 为 如 下 的 算法 : 
(1) 找 出 一 个 (~ 一 TD)- 轮 特征 Q(r 一 1) = oo sai,…,a,-1, 使 得 它 的 概率 达到 最 大 或 几 
平 最 大 。 
(2) 均匀 随机 地 选择 明文 Y。 并 计算 Yi ,使 得 Y。 和 Ys 的 差分 为 wm , 找 出 Ye 和 Y5 
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在 实际 密 钥 加 密 下 所 得 的 密 文 Y, 和 Y; 。 若 最 后 一 轮 的 子 密 钥 K,( 或 K, 的 部 分 比特 ) 有 
2” 个 可 能 值 Ki(1<j<2”) ,设置 相应 的 2” 个 计数 器 A;(1j 三 2") ;用 每 个 Ki 解密 密 文 
Y, 和 YY ,得 到 Y,_! 和 Y1 ,如 果 Y,-1 和 Y~1 的 差分 是 a,-1, 则 给 相应 的 计数 器 A; 加 1。 

(3) 重复 步骤 (2) ,直到 一 个 或 几 个 计数 器 的 值 明显 高 于 其 他 计数 器 的 值 ,输出 它们 
所 对 应 的 子 密 钥 ( 或 部 分 比特 ) 。 

一 种 攻击 的 复杂 度 可 以 分 为 两 部 分 : 数据 复杂 度 和 处 理 复杂 度 。 数 据 复 杂 度 是 实施 
该 攻击 所 需 输入 的 数据 量 ; 而 处 理 复杂 度 是 处 理 这 些 数据 所 需 的 计算 量 。 这 两 部 分 主要 
用 来 刻画 该 攻击 的 复杂 度 。 

差分 密码 分 析 的 数据 复杂 度 两 倍 于 成 对 加 密 所 需 的 选择 明文 对 (Yo,Yf ) 的 个 数 。 差 
分 密码 分 析 的 处 理 复杂 度 是 从 (AY,-,,Y,,Y; ) 找 出 子 密 钥 K,( 或 KK, 的 部 分 比特 ) 的 计算 
量 , 它 实际 上 与 无关, 而 且 由 于 轮 函 数 是 弱 的 ,所 以 此 计算 量 在 大 多 数 情况 下 相对 较 小 。 
因此 ,差分 密码 分 析 的 复杂 度 取决 于 它 的 数据 复杂 度 。 


332 线性 密码 分 析 


线性 密码 分 析 是 对 迭代 密码 的 一 种 已 知 明文 攻击 , 它 利 用 的 是 密码 算法 中 的 “不 平衡 
(有 效 ) 的 线性 逼近 ”。 

设 明文 分 组 长 度 和 密 文 分 组 长 度 都 为 n 比特 , 密 钥 分 组 长 度 为 m 比特 。 记 明文 分 组 
为 PL[1],P[2],…,P[nj, 密 文 分 组 为 CL[1],C[2],…,C[Lnj, 密 钥 分 组 为 K[1],K[2],…， 
K[m]。 定 义 A[i,j,…,k]= 二 A[i]@AL[j]@… 旬 A[k]。 

线性 密码 分 析 的 目标 就 是 找 出 以 下 形式 的 有 效 线性 方程 : 

Plii sis ,si D CLjisja sss] 一 天 LA] 

其 中 1<a<n,1<b<n,1c<m。 


如 果 方 程 成 立 的 概率 p 隆 六 , 则 称 该 方程 是 有 效 的 线性 带 近 。 如 果 | 到 | 是 最 大 
的 , 则 称 该 方程 是 最 有 效 的 线性 逼近 。 


设 N 表示 明文 数 ,T 是 使 方程 左边 为 0 的 明文 数 。 如 果 T> 今 , 则 令 ， 


0 之 去 
KL[ki ,ka ,ke] = 
1，p 过 二 
2 
如 果 了 一 部, 则 令 ，: 

0， 旋 天 二 

KLhi oki ,Rk] = 
iy > 了 


从 而 可 得 关于 密 钥 比 特 的 一 个 线性 方程 。 对 不 同 的 明文 密 文 对 重复 以 上 过 程 , 可 得 关于 
密 钥 的 一 组 线性 方程 ,从 而 确定 出 密 钥 比特 。 
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研究 表明 , 当 | ?一 于 | 充分 小 时 ,攻击 成 功 的 概率 是 
号 = 站 
= CT 
|e 
这 一 概率 只 依赖 于 VN | 2 一 二 | ,并 随 着 N 或 | p 一 十 | 的 增加 而 增加 。 








如 何 对 差分 密码 分 析 和 线性 密码 分 析 进 行 改进 ,降低 它们 的 复杂 度 仍 是 现在 理论 研 
究 的 热点 ,目前 已 推出 了 很 多 改进 方法 ,例如 ,高 阶 差 分 密码 分 析 、 截 段 差分 密码 分 析 
(Truncated Differential Cryptanalysis) ,不 可 能 差分 密码 分 析 、 多 重 线 性 密码 分 析 、 非 线 
性 密码 分 析 、 划 分 密码 分 析 和 差分 -线性 密码 分 析 。 针 对 密 钥 编 排 算法 的 相关 密 钥 攻 击 、 
基于 Lagrange 插值 公式 的 插值 攻击 及 基于 密码 器 件 的 能 量 分 析 (Power Analysis)。 另 
外 还 有 错误 攻击 .时间 攻击 、Square 攻击 和 Davies 攻击 等 。 


a 分 组 密码 的 运行 模式 





分 组 密码 在 加 密 时 明文 分 组 的 长 度 是 固定 的 ,而 实用 中 待 加 密 消息 的 数据 量 是 不 定 
的 ,数据 格式 可 能 是 多 种 多 样 的 。 为 了 能 在 各 种 应 用 场合 使 用 DES, 美 国 在 FIPS PUS 74 
和 81 中 定义 了 DES 的 4 种 运行 模式 ,如 表 3-5 所 示 。 这 些 模 式 也 可 用 于 其 他 分 组 密码 ， 
下 面 以 DES 为 例 来 介绍 这 4 种 模式 。 


表 3-5 DES 的 运行 模式 




















模 式 描述 用 话 
电码 本 (ECB) 模 式 每 个 明文 组 独立 地 以 同一 密 钥 加 密 ee 
加 密 算法 的 输入 是 当前 明文 组 与 前 二 密 文 | 传送 数据 分 组 ， 
密码 分 组 链接 (CBC) 模 式 | 加 密生 计 
每 次 只 处 理 输入 的 了 比特 ,将 上 一 次 的 密 文 | 作 六 数据 六 
密码 反馈 (CFB) 模 式 。。 | 用 作 加 密 算 法 的 输入 以 产生 伪 随 机 输出 ,该 | 传送 数据 流 ， 
输出 再 与 当前 明文 异 或 以 产生 当前 密 广 
与 CFB 类 似 ,不 同 之 处 是 本 次 加 密 算法 的 输 | 有 扰 信 道上 《如 卫星 通 
输出 反馈 (OFB) 模 式 。 | 人 为 前 一 次 加 密 算法 的 输出 信 ) 传 送 数据 流 
341 电码 本 模式 


电码 本 (Electronic CodeBook ,ECB) 模 式 是 最 简单 的 运行 模式 , 它 一 次 对 一 个 64 比 
特长 的 明文 分 组 加 密 ,而 且 每 次 的 加 密 密 钥 都 相同 ,如 图 3-10 所 示 。 当 密 钥 取 定 时 ,对 明 
文 的 每 一 个 分 组 ,都 有 一 个 唯一 的 密 文 与 之 对 应 。 因 此 可 以 形象 地 认为 有 一 个 非常 大 的 
电码 本 ,对 任意 一 个 可 能 的 明文 分 组 ,电码 本 中 都 有 一 项 与 之 对 应 的 密 文 。 

如 果 消 息 长 于 64 比特 , 则 将 其 分 为 长 为 64 比特 的 分 组 ,最 后 一 个 分 组 如 果 不 够 
64 比特 , 则 需要 填充 。 解 密 过 程 也 是 一 次 对 一 个 分 组 解密 ,而 且 每 次 解密 都 使 用 同一 密 
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钥 。 图 3-10 中 ,明文 是 由 分 组 长 为 64 比特 的 分 组 序列 Pi , P;,…, Pw 构成 ,相应 的 密 文 
分 组 序列 是 C1 ,C;,… ,Cyn。 



























































第 1 次 第 2 次 第 N 次 
上 履 上 
DES DES DES 
人 “| 加 密 加 密 《一 “| 加 密 
1 1 1 
co CG Cy 
(a) 加 密 
I [ 半 她 
_ | DES | DES | DES 
人 解密 | “ 解密 解密 
1 1 1 
Pp P, Py 
(b) 解密 


3-10 ”ECB 模式 示意 图 


ECB 在 用 于 短 数据 (如 加 密 密 钥 ) 时 非常 理想 ,因此 如 果 需 要 安全 地 传递 DES 密 钥 ， 
ECB 是 最 合适 的 模式 。 

ECB 的 最 大 特性 是 若 同一 明文 分 组 在 消息 中 重复 出 现 , 则 产生 的 密 文 分 组 也 相同 。 

ECB 用 于 长 消息 时 可 能 不 够 安全 ,如 果 消 息 有 固定 结构 ,密码 分 析 者 有 可 能 找 出 这 
种 关系 。 例 如 ,如 果 已 知 消息 总 是 以 某 个 预定 义 字 段 开 始 ,那么 分 析 者 就 可 能 得 到 很 多 明 
文 密 文 对 。 如 果 消 息 有 重复 的 元 素 而 重复 的 周期 是 64 的 倍数 ,那么 密码 分 析 者 就 能 够 识 
别 这 些 元 素 。 以 上 这 些 特 性 都 有 助 于 密码 分 析 者 ,有 可 能 为 其 提供 对 分 组 的 代 换 或 重 排 
的 机 会 。 


342 密码 分 组 链接 模式 


为 了 解决 ECB 的 安全 缺陷 ,可 以 让 重复 的 明文 分 组 产生 不 同 的 密 文 分 组 ,密码 分 组 
链接 (Cipher Block Chaining,CBC) 模 式 就 可 满足 这 一 要 求 。 
图 3-11 是 CBC 模式 的 示意 图 , 它 一 次 对 一 个 明文 分 组 加 密 , 每 次 加 密使 用 同一 密 
钥 , 加 密 算法 的 输入 是 当前 明文 分 组 和 前 一 次 密 文 分 组 的 异 或 ,因此 加 密 算法 的 输入 不 会 
显示 出 与 这 次 的 明文 分 组 之 间 的 固定 关系 ,所 以 重复 的 明文 分 组 不 会 在 密 文中 暴露 出 这 
种 重复 关系 。 
解密 时 ,每 一 个 密 文 分 组 被 解密 后 ,再 与 前 一 个 密 文 分 组 异 或 , 即 : 
Dk LG 1® C1 一 Dr [Er [Ce (3 P,]]® Ce 
=CAiBP,BCn =P, ( 设 C.= Er[C.i DP,]) 
因而 产生 出 明文 分 组 。 
在 产生 第 一 个 密 文 分 组 时 ,需要 有 一 个 初始 向 量 IV 与 第 一 个 明文 分 组 异 或 。 解 密 
时 ,IV 和 解密 算法 对 第 一 个 密 文 分 组 的 输出 进行 异 或 以 恢复 第 一 个 明文 分 组 。 
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第 1 次 第 2 次 第 N 次 
IV Pp p, Py 
— 一 “oe 
DES DES DES 
人 “| 加 密 < 加 密 | 加 密 
i 1 1 
CI G Cy 

(a) 加 密 
部 区 全 
DES DES DES 
人 “| 解密 《| 解密 | 解 密 
"一 一 $0 
下 Pp, Py 

(b) 解密 


图 3-11 CBC 模式 示意 图 


IV 对 于 收发 双方 都 应 是 已 知 的 ,为 使 安全 性 最 高 ,IV 应 像 密 钥 一 样 被 保护 ,可 使 用 
ECB 加 密 模 式 来 发 送 IV。 保 护 IV 的 原因 如 下 : 如 果 敌 手 能 欺骗 接收 方 使 用 不 同 的 IV 
值 ,敌手 就 能 够 在 明文 的 第 一 个 分 组 中 插入 自己 选择 的 比特 值 ,这 是 因为 : 

C= Exr[IV@P] 
Pi!=1IV@Dx[C] 
用 XGCG) 表 示 64 比特 分 组 X 的 第 i 个 比特 ,那么 Pi(i)==IV(i)@Dk [C1](), 由 异 或 的 性 
质 得 : 
Pi (一 IV GD 四 DrrC]G) 
其 中 撤 号 表示 比特 补 。 上 式 意味 着 如 果 敌 手 自 改 了 IV 中 的 某 些 比特 , 则 接收 方 收 到 的 
Pi 中 相应 的 比特 也 发 生变 化 。 
由 于 CBC 模式 的 链接 机 制 ,CBC 模式 对 加 密 长 于 64 比特 的 消息 非常 合适 。 
CBC 模式 除 能 够 获得 保密 性 外 ,还 能 用 于 认证 。 


343 密码 反馈 模式 


如 上 所 述 ,DES 是 分 组 长 为 64 比特 的 分 组 密码 ,但 利用 密码 反馈 (Cipher FeedBack， 
CFB) 模 式 或 OFB 模式 可 将 DES 转换 为 流 密码 。 流 密码 不 需要 对 消息 填充 ,而 且 运 行 是 
实时 的 。 因 此 如 果 传 送 字 母 流 , 可 使 用 流 密码 对 每 个 字母 直接 加 密 并 传送 。 

流 密码 具有 密 文 和 明文 一 样 长 这 一 性 质 . 因 此 ,如 果 需 要 发 送 的 每 个 字符 长 为 8 比 
特 , 就 应 使 用 8 比特 密 钥 来 加 密 每 个 字符 。 如 果 密 钥 长 超过 8 比特 , 则 造成 浪费 。 

图 3-12 是 CFB 模式 示意 图 , 设 传送 的 每 个 单元 (如 一 个 字符 ) 是 j 比特 长 ,通常 取 
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J 二 8, 与 CBC 模式 一 样 ,明文 单元 被 链接 在 一 起 ,使 得 密 文 是 前 面 所 有 明文 的 函数 。 











































































































































































































TV( 移 位 寄存 器 ) 1 co ee | 
64-j 比 特 ”| j 比 特 64Jj 比 特 ”| /比特 64-j 比 特 ”| /比特 
64 
1 1 1 
DES DES DES 
《一 | 加 密 《一 站 加密 《一 | 加 密 
64 
1 1 1 
选 j 比 特 | 丢弃 64-j 比 特 选 ) 比 特 | 丢弃 64-j 比 特 选 j 比 特 | 丢弃 64-j 比 特 
2 
7 
十 Cl 十 ~ CGC, Cu 
J 
PI P, Py 
(a) 加 密 
IV( 移 位 寄存 器 ) 二 Ci 
64-j 比 特 “| /比特 64j 比 特 ”| /此 特 64 比 特 ”| /比特 
64 
Kk 大 
64 
选 /比特 | 丢弃 64-/ 比 特 选 /比特 丢弃 64-j 比 特 选 j 比 特 | 丢弃 64-/ 比 特 
CI GC Cu 
Pi P, Py 


(b) 解密 
图 3-12 CFB 模式 示意 图 


加 密 时 ,加 密 算法 的 输入 是 64 比特 移 位 寄存 器 ,其 初 值 为 某 个 初始 向 量 IV。 加 密 算 
法 输出 的 最 左 ( 最 高 有 效 位 )j 比特 与 明文 的 第 一 个 单元 Pi 异 或 ,产生 出 密 文 的 第 一 个 单 
元 C1 ,并 传送 该 单元 。 然 后 将 移 位 寄存 器 的 内 容 左 移 j 位 并 将 C; 送 入 移 位 寄存 器 最 右 
边 ( 最 低 有 效 位 )j 位 。 这 一 过 程 继 续 到 明文 的 所 有 单元 都 被 加 密 为 止 。 

解密 时 ,将 收 到 的 密 文 单元 与 加 密 函 数 的 输出 进行 异 或 。 注 意 这 时 仍然 使 用 加 密 算 
法 而 不 是 解密 算法 ,原因 如 下 : 

设 SCX) 是 X 的 7) 个 最 高 有 效 位 ,那么 C= 二 P1 名 S;(E(IV)), 因 此 
50 
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P, = Ci, 四 SiCEGV)) 
可 证 明 以 后 各 步 也 有 类 似 的 这 种 关系 。 


CFB 模式 除 能 获得 保密 性 外 ,还 能 用 于 认证 。 
344 输出 反馈 模式 


输出 反馈 (Output FeedBack,OFB) 模 式 的 结构 类 似 于 CFB, 如 图 3-13 所 示 。 不 同 之 


处 如 下 : OFB 模式 是 将 加 密 算法 的 输出 反馈 到 移 位 寄存 器 ,而 CFB 模式 是 将 密 文 单元 反 
馈 到 移 位 寄存 器 。 
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(a) 加 密 














IV( 移 位 寄存 器 ) 
64-j 比 特 /比特 


64-j 比 特 /比特 


























DES - 
Ke K 一 -一 
加 密 



































加 密 

















1 
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四 
选 /比特 | 丢弃 64-j 比 特 
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(b) 解密 
3-13 ”OFB 模式 示意 图 
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OFB 模式 的 优点 是 传输 过 程 中 的 比特 错误 不 会 被 传播 。 例 如,C, 中 出 现 一 比特 错 
误 ,在 解密 结果 中 只 有 Pi 受到 影响 ,以 后 各 明文 单元 则 不 受 影响 。 而 在 CFB 中 ,C, 也 作 
为 移 位 寄存 器 的 输入 ,因此 它 的 一 比特 错误 会 影响 解密 结果 中 各 明文 单元 的 值 。 

OFB 的 缺点 是 它 比 CFB 模式 更 易 受到 对 消息 流 的 算 改 攻击 ,例如 在 密 文 中 取 1 比 
特 的 补 ,那么 在 恢复 的 明文 中 相应 位 置 的 比特 也 为 原 比 特 的 补 。 因 此 使 得 敌手 有 可 能 通 
过 对 消息 校 验 部 分 的 算 改 和 对 数据 部 分 的 算 改 ,而 以 纠 错 码 不 能 检测 的 方式 算 改 密 文 。 


3 5 IDEA 





IDEA(International Data Encryption Algorithm, 国际 数据 加 密 算法 ) 由 来 学 嘉 (X. 
J. Lai) 和 J. L. Massey 提出 ,其 第 一 版 于 1990 年 公布 ,当时 称 为 PES (Proposed 
Encryption Standard ,建议 加 密 标 准 )。1991 年 ,在 Biham 和 Shamir 提出 差分 密码 分 析 
之 后 ,设计 者 推出 了 改进 算法 IPES, 即 改进 型 建议 加 密 标 准 。1992 年 ,设计 者 又 将 IPES 
改名 为 IDEA。 这 是 已 提出 的 各 种 分 组 密码 中 一 个 很 成 功 的 方案 ,已 在 PGP 中 采用 。 


351 设计 原理 


算法 中 明文 和 密 文 分 组 长 度 都 是 64 比特 , 密 钥 长 128 比特 。 其 设计 原理 可 从 强度 和 
实现 两 方面 考虑 。 


1. 密码 强度 

算法 的 强度 主要 是 通过 有 效 的 混淆 和 扩散 特性 而 得 以 保证 。 

混淆 是 通过 使 用 以 下 3 种 运算 而 获得 ,3 种 运算 都 有 两 个 16 比特 的 输入 和 一 个 16 比 
特 的 输出 : 

(1) 逐 比特 异 或 ,表示 为 中; 

(2) 模 2*( 即 65 536) 整 数 加 法 ,表示 为 四 ,其 输入 和 输出 作为 16 位 无 符号 整数 处 理 。 

(3) 模 25 十 1( 即 65 537) 整 数 乘法 ,表示 为 @ ,其 输入 、 输 出 中 除 16 位 全 为 0 作为 2 
处 理 外 ,其 余 都 作为 16 位 无 符号 整数 处 理 。 

例如 : 

0000000000000000@1000000000000000 二 1000000000000001 

这 是 因为 2*X2' mod (2 十 1) 一 25 十 1。 

表 3-6 给 出 了 操作 数 为 2 比特 长 时 3 种 运算 的 运算 表 。 在 以 下 意义 下 ,3 种 运算 是 不 
兼容 的 : 

表 3-6 IDEA 中 的 3 种 运算 (操作 数 为 2 比特 长 ) 


XOY 





XHY 





二 











00 0 00 





01 1 01 
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续 表 
XY XOY XGY 

0 00 2 10 2 10 3 11 2 10 
0 00 3 11 3 WM 2 10 3 11 
1 01 0 00 1 01 0 00 1 01 
1 01 01 2 10 所 01 0 00 
1 01 2 10 3 11 2 10 3 11 
1 01 3 11 0 00 3 11 2 10 
2 10 0 00 2 10 3 得 2 10 
2 10 1 01 3 11 2 10 3 11 
2 10 2 10 0 00 0 00 0 00 
2 10 3 11 1 01 1 01 1 01 
3 11 0 00 3 11 2 10 3 11 
3 11 1 01 0 00 3 i 2 10 
3 11 2 10 1 01 1 01 1 01 
3 11 3 11 2 10 0 00 0 00 


(1) 3 个 运算 中 任意 两 个 都 不 满足 分 配 律 , 例 如 : 
a Hb Oc) A (ab) O(ae) 
(2) 3 个 运算 中 任意 两 个 都 不 满足 结合 律 , 例 如 : 














a A (nD) Be 
3 种 运算 结合 起 来 使 用 可 对 算法 的 输入 提供 复杂 的 变换 ,从 而 使 得 对 IDEA 的 密码 
分 析 比 对 仅 使 用 异 或 运算 的 DES 更 为 困难 。 
算法 中 扩散 是 由 称 作 乘 加 (Multiplication/ Addition, MA) 结 构 ( 见 图 3-14) 的 基本 单 















































元 实现 的 。 该 结构 的 输入 是 两 个 16 比特 的 子 段 和 两 个 区 
16 比特 的 子 密 钥 ,输出 也 为 两 个 16 比特 的 子 段 。 这 一 结 芭 
构 在 算法 中 重复 使 用 了 8 次 ,获得 了 非常 有 效 的 扩散 | ”+ | 
效果 。 [并 
2 实现 二 
IDEA 可 方便 地 通过 软件 和 硬件 实现 。 ! 9 
(1) 软件 : 软件 实现 采用 16 比特 子 段 处 理 , 可 通过 使 T | 
用 容易 编程 的 加 法 、. 移 位 等 运算 实现 算法 的 3 个 运算 。 上 
(2) 硬件 : 由 于 加 、 解 密 相似 ,差别 仅 为 使 用 密 钥 的 方 EO 
图 3-14 MA 结构 


式 , 因 此 可 用 同一 器 件 实现 。 再 者 ,算法 中 规则 的 模块 结 
构 ,可 方便 VLSI 的 实现 。 
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352 加 密 过 程 


加 密 过 程 ( 见 图 3-15) 由 连续 的 8 轮 和 迭代 和 一 个 输出 变换 组 成 ,算法 将 64 比特 的 明文 
分 组 分 成 4 个 16 比特 的 子 段 ,每 轮 迭 代 以 4 个 16 比特 的 子 段 作为 输入 ,输出 也 为 4 个 16 
比特 的 子 段 。 最 后 的 输出 变换 也 产生 4 个 16 比特 的 子 段 ,链接 起 来 后 形成 64 比特 的 密 
文 分 组 。 每 轮 迭 代 还 需 使 用 6 个 16 比特 的 子 密 钥 ,最 后 的 输出 变换 需 使 用 4 个 16 比特 
的 子 密 钥 ,所 以 子 密 钥 总 数 为 52。 图 3-15 的 右 半 部 分 表示 由 初始 的 128 比特 密 钥 产生 
52 个 子 密 钥 的 子 密 钥 产生 器 。 
64 比 特 明文 128 比 特 密 钥 Z 
而 让 区 

第 ! 轮 1 子 密 钥 生 成 器 
Wu Wn 

第 2 轮 


Wm 1m Ws WW 和 Zs 

















Wa | 十 十， 
第 8 轮 
Wa Vs Ws Ws 
输出 变换 
Fn | IY | Ya 



































密 文 
图 3-15 IDEA 的 加 密 框图 


1. 轮 结构 

图 3-16 是 IDEA 第 一 轮 的 结构 示意 图 ,以 后 各 轮 也 都 是 这 种 结构 ,但 所 用 的 子 密 钥 
和 轮 输入 不 同 。 从 结构 图 可 见 ,IDEA 不 是 传统 的 Feistel 密码 结构 。 每 轮 开 始 时 有 一 个 
变换 ,该 变换 的 输入 是 4 个子 段 和 4 个子 密 钥 ,变换 中 的 运算 是 两 个 乘法 和 两 个 加 法 , 输 
出 的 4 个 子 段 经 过 异 或 运算 形成 了 两 个 16 比特 的 子 段 作为 MA 结构 的 输入 。MA 结构 
也 有 两 个 输入 的 子 密 钥 ,输出 是 两 个 16 比特 的 子 段 。 

最 后 ,变换 的 4 个 输出 子 段 和 MA 结构 的 两 个 输出 子 段 经 过 异 或 运算 产生 这 一 轮 的 
4 个 输出 子 段 。 注 意 ,由 X; 产生 的 输出 子 段 和 由 Xs 产生 的 输出 子 段 交 换 位 置 后 形成 
Wis 和 Ws, 目 的 在 于 进一步 增加 混淆 效果 ,使 得 算法 更 易 抵 抗 差分 密码 分 析 。 

算法 的 第 9 步 是 一 个 输出 变换 ,如 图 3-17 所 示 。 它 的 结构 和 每 一 轮 开始 的 变换 结构 
一 样 ,不 同 之 处 在 于 输出 变换 的 第 2 个 和 第 3 个 输入 首先 交换 了 位 置 ,目的 在 于 撤销 第 
8 轮 输出 中 两 个 子 段 的 交换 。 还 需 注意 ,第 9 步 仅 需 4 个子 密 钥 而 前 面 8 轮 中 每 轮 需 要 
6 个 子 密 钥 。 
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总 2 A 





各 
1 1 
去 一 上 上 -人 + |—z, 

















二 人 






























































1 
Wi Wis Wi Wis 


图 3-16 IDEA 第 一 轮 的 轮 结构 





















































了 WW 
1 
Ze 一 -| | + 上 -| Zs 
Za 一 一 十 时 Zs2 
| 时 站 


Ti 世 A 
图 3-17 IDEA 的 输出 变换 


2 子 密 钥 的 产生 

加 密 过 程 中 52 个 16 比特 的 子 密 钥 是 由 128 比特 的 加 密 密 钥 按 如 下 方式 产生 的 : 前 
8 个 子 密 钥 Di ,2Z,,… ,Zs 直接 从 加 密 密 钥 中 取 , 即 Z, 取 前 16 比特 (最 高 有 效 位 ),Z: 取 
下 面 的 16 比特 ,以 此 类 推 。 然 后 加 密 密 钥 循环 左 移 25 位 ,再 取 下 面 8 个 子 密 钥 Z， 
Zio，… ,Zis， 取 法 与 Z1 ,Zs，… ,Zs 的 取 法 相同 。 这 一 过 程 重 复 下 去 ,直到 52 个 子 密 钥 都 
被 产生 为 止 。 
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3. 解密 过 程 

解密 过 程 和 加 密 过 程 基本 相同 ,但 子 密 钥 的 选取 不 同 。 解 密 子 密 钥 Ui ,U: ,… ,Us 是 
由 加 密 子 密 钥 按 如 下 方式 得 到 (将 加 密 过 程 最 后 一 步 的 输出 变换 当 作 第 9 轮 ): 

0) 第 i(i 二 1,…,9) 轮 解密 的 前 4 个子 密 钥 由 加 密 过 程 第 (10 一 让 轮 的 前 4 个子 密 钥 
得 出 : 其 中 第 1 和 第 4 个 解密 子 密 钥 取 为 相应 的 第 1 和 第 4 个 加 密 子 密 钥 的 模 2* 十 1 乘 
法 逆 元 ,第 2 和 第 3 个 子 密 钥 的 取 法 为 : 当 轮 数 i 二 2,…,8 时 , 取 为 相应 的 第 3 个 和 第 
2 个 加 密 子 密 钥 的 模 2* 加 法 逆 元 。 当 i=1 和 9 时 , 取 为 相应 的 第 2 个 和 第 3 个 加 密 子 密 
钥 的 模 25 加 法 逆 元 。 

(2) 第 i(i 二 1,…,8) 轮 解密 的 后 两 个 子 密 钥 等 于 加 密 过 程 第 (9 一 店 轮 的 后 两 个 子 
密 钥 。 

表 3-7 是 对 以 上 关系 的 总 结 。 其 中 Z; 的 模 2 十 1 乘法 逆 元 为 Z; ,满足 : 

Z;* Z; = 1 mod (2*++1) 
表 3-7 IDEA 加 密 、 解 密 子 密 钥 表 














轮 数 加 密 子 密 钥 解密 子 密 钥 
1 Z1 ,22 ,Za ,24 2s ,Zs Ui ,U; ,Us ,U, ,Us ,Us ZH! ,— Zs0,— Zs ,Zi ,24 ,Zs 
2 Z1 ,28 ,Do ,Zy0 Zu Do U ,Us ,Us ,Uo ,Uy ,Us Zi ,一 Zu — Zu »Z46! »Z4 ,Za 
3 | Zi3 ,Zu ,Zs ,2Z16,Z17 ,Ze Us ,Un Us ,Us ,Ui ,Un 2 ,一 Ze ,一 Ze ,Zw! » 3s » Zae 
.| A A Us ,Uzo Ua ,Uz sUzs ,Ua Zi ,一 Za ,一 Za » Zi! ,Ze ,Za 
5 | Zzs ,2Zxs » Zr » Las ,Zoo ,Zao Uss ,Uzs ,Uzr ,Uzs ,Uz ,Uso Zs ,— Zar ,一 Zx ,Za » Zo3 » Za 
6 | Za ,Za ,Za ,Zu ,Ze ,Zu Ua Uss Usa ,Us ,Us ,Us 2 ,一 2 ,一 Zo 2 Zu ,Zis 
7 | ZZ 2 2 Zu 2 Us Us Us Un Ua Use 2 一 2 — Zi Zi DZ 
8 | Zu,24 ,24 24,24 Ze Us Uw Us Us Us Du 一 五 , 一 2 ZH; 226 

输出 | Ze ,Za ,Za ,Zr Us ,Us ,Us ,Us 2 ,一 2 ,一 DZT 

变换 


因 2 十 1 是 一 素数 ,所 以 每 一 个 不 大 于 25 的 非 0 整数 都 有 一 个 唯一 的 模 25 十 1 乘 
法 逆 元 。 
Z; 的 模 25 加 法 逆 元 为 一 2 ,满足 : 
一 也 四 Zi = 0 mod (225) 
下 面 验证 解密 过 程 的 确 得 到 了 正确 的 结果 。 图 3-18 中 左边 为 加 密 过 程 ,由 上 至 下 ; 
右边 为 解密 过 程 ,由 下 至 上 。 将 每 一 轮 进一步 分 为 两 步 : 第 一 步 是 变换 ,其 余部 分 作为 第 








二 步 , 称 为 子 加 密 。 
从 下 往 上 考虑 。 对 加 密 过 程 的 最 后 一 个 输出 变换 ,以 下 关系 成 立 : 
六 生 WWOy WW 
Y=WwuBZs Y= WhO 


解密 过 程 中 第 1 轮 的 第 1 步 产 生 以 下 关系 : 
Jn=YOU: J= YU: 
Ji = YU Ju= YOU, 
将 解密 子 密 钥 由 加 密 子 密 钥 表达 并 将 Yi ,Ya ,Ys ,Y 代入 以 下 关系 ,有 : 
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Ju=Y OZa= WaOZs OZH= Wa 
Ja = YH— Zs = Wa Zs HH Zso = Wss 
Js = Y;H—Za = We Za Za = We 
Ju= YOZa= WauOZs OZH= Wa 
可 见 ,解密 过 程 第 1 轮 第 1 步 的 输出 等 于 加 密 过 程 最 后 一 步 输入 中 第 2 个 子 段 和 第 3 个 
子 段 交换 后 的 值 。 从 图 3-18 ,可 得 以 下 关系 : 
Wa = Ta 四 MARCTs © Iss ,1s 四 Ts) 
Wsz = Iss © MAr(ls 四 Ts ,Tsz @ Is) 
Wss = Ls D MAL (Is ©® Lss, 1s D Iu) 
Wa = Ia DD MAL (Ts © Iss, 1s © Ia) 





























































































































请 二 二 二 [pe 全 人 
变换 一 22 输出 变换 产 一 一 omU 
和 二 过 壤 1 。 fy, fr I hn 
轮 子 加 密 _ 轮 子 加 密 i i Ue 
Wi IW W's (i 人 [WR fh fm 
第 变换 Wn Zoo 变换 户 一 一 Us Use 
2 By es J a i 
轮 71 72 73 74 
子 加 密 | 
EE 
Wa [a 的 Pr hp hr fs tf 
变换 一 一 ZNZ 子 加 密 六 一 0 Us 
I Cor 和 局 人 各 人 1 
上 了 了 加 密 -一 变换 -一 和 
I je I Wes fy, Vi, tr»; fr 
变换 -一 ZZ 第 加 密 -Us' Us 
| |» |» 站 六 1 人 va 二 可 
轮 变换 UU, 
ty fs ts ts 








图 3-18 IDEA 加 密 和 解密 框图 


其 中 MAr(X,Y) 是 MA 结构 输入 为 X 和 YY 时 的 右边 输出 ,MAL(X,Y) 是 左边 输出 。 则 : 
Vu= Jn MAr(Tn OJ:Trs 1) 
= Wa DB MAr (Wa DB Waz ,Wss D Wa) 
= Ta ©O MAr (Ts © Lss, 1s D Iu) BD MArLIs DB MAr Ts 
® Tss ,sz (®) 1ss) 四 Tss 申 MAr( ls! (3) Tss ,sz 四 Ts4) ,Ts 
BMA Da DI DI DMA DllTs DI)] 
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= I © MAr (Ts © Iss, Ts D ls) DBD MAr(Ts © Lss, 1s: © Ia) 
= Ta 
类 似 地 ,可 有 : 
Viz = Js Vis= Is Vu = Ia 
所 以 解密 过 程 第 1 轮 第 2 步 的 输出 等 于 加 密 过 程 倒 数 第 2 步 输 入 中 第 2 个 子 段 和 第 
3 个 子 段 交换 后 的 值 。 
同 理 可 证 图 3-18 中 每 步 都 有 上 述 类 似 关 系 , 这 种 关系 一 直到 
Vai Th Ve Ts Vs Ts Ve lu 
即 除 第 2 个 子 段 和 第 3 个 子 段 交换 位 置 外 ,解密 过 程 的 输出 变换 与 加 密 过 程 第 1 轮 第 
1 步 的 变换 完全 相同 。 
所 以 最 后 得 出 整个 解密 过 程 的 输出 等 于 整个 加 密 过 程 的 输入 。 


36 ”AES 算法 一 一 Rijndael 











1997 年 4 月 15 日 ,美国 ANSI 发 起 征集 AES(Advanced Encryption Standard) 的 活 
动 , 并 为 此 成 立 了 AES 工作 小 组 。 此 次 活动 的 目的 是 确定 一 个 非 保 密 的 、 可 以 公开 技术 
细节 的 ,全 球 免费 使 用 的 分 组 密码 算法 ,以 作为 新 的 数据 加 密 标准 。1997 年 9 月 12 日 ， 
美国 联邦 登记 处 公布 了 正式 征集 AES 后 选 算法 的 通告 。 对 AES 的 基本 要 求 是 : 比 三重 
DES 快 .至少 与 三 重 DES 一 样 安全 ,数据 分 组 长 度 为 128 比特 、 密 钥 长 度 为 128/192/256 
比特 。1998 年 8 月 12 日 ,在 首届 AES 候选 会 议 (First AES Candidate Conference) 上 公 
布 了 AES 的 15 个 候选 算法 , 任 由 全 世界 各 机 构 和 个 人 攻击 和 评论 ,这 15 个 候选 算法 是 
CAST256、CRYPTON E2、 DEAL, FROG. SAFER 十 、RC6 、MAGENTA、LOKI97、 
SERPENT、MARS.Rijndael.DFC、Twofish、HPC。1999 年 3 月 ,在 第 2 届 AES 候选 会 
议 (Second AES Candidate Conference) 上 经 过 对 全 球 各 密码 机 构 和 个 人 对 后 选 算法 分 析 
结果 的 讨论 ,从 15 个 候选 算法 中 选 出 了 5 个 。 这 5 个 是 RC6、 Rijndael、 SERPENT、 
Twofish 以 及 MARS。2000 年 4 月 13 日 至 14 日 ,召开 了 第 3 届 AES 候选 会 议 (Third 
AES Candidate Conference) ,继续 对 最 后 5 个 候选 算法 进行 讨论 。2000 年 10 月 2 日 ， 
NIST 宣布 Rijndael 作为 新 的 AES。 至 此 ,经 过 3 年 多 的 讨论 ,Rijndael 终于 脱颖而出 。 

Rijndael 由 比利时 的 Joan Daemen 和 Vincent Rijmen 设计 ,算法 的 原型 是 Square 算 
法 , 它 的 设计 策略 是 宽 轨 迹 策略 (Wide Trail Strategy) 。 宽 轨迹 策略 是 针对 差分 分 析 和 线 
性 分 析 提 出 的 , 它 的 最 大 优点 是 可 以 给 出 算法 的 最 佳 差分 特征 的 概率 及 最 佳 线 性 逼近 的 
偏差 的 界 ; 由 此 ,可 以 分 析 算 法 抵抗 差分 密码 分 析 及 线性 密码 分 析 的 能 力 。 


361 后 ndael 的 数学 基础 和 设计 思想 


1. 有 限 域 GF(2) 
有 限 域 中 的 元 素 可 以 用 多 种 不 同 的 方式 表示 。 对 于 任意 素数 的 方 宪 , 都 有 唯一 的 一 
个 有 限 域 ,因此 GF(2*) 的 所 有 表示 是 同 构 的 ,但 不 同 的 表示 方法 会 影响 到 GF(2*) 上 运算 
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的 复杂 度 , 本 算法 采用 传统 的 多 项 式 表示 法 。 
将 b1bsbsb453b2b16bo 构 成 的 字 节 65 看 成 系数 在 {0,1} 中 的 多 项 式 
brr' 二 bexs 十 bsx 十 bx 十 bax 十 bax? 十 bi 十 bo 
例如 ,十 六 进 制 数 57 对 应 的 二 进 制 为 01010111, 看 成 一 个 字 节 ,对 应 的 多 项 式 为 
Tz 十 x 十 十 z 十 1。 
在 多 项 式 表 示 中 ,GF(2s) 上 两 个 元 素 的 和 仍然 是 一 个 次 数 不 超 过 7 的 多 项 式 , 其 系 
数 等 于 两 个 元 素 对 应 系数 的 模 2 加 (比特 异 或 ) 。 
例如 ,57 十 83 二 D4, 用 多 项 式 表示 为 
(z 十 Tt 十 TT 十 Xz 十 1) 十 (x? 十 Xz 十 1)= 二 xT 十 Tz 十 zx 十? 
用 二 进 制 表示 为 
01010111 十 10000011 = 11010100 
由 于 每 个 元 素 的 加 法 逆 元 等 于 自己 ,所 以 减法 和 加 法 相同 。 
要 计算 GF(28) 上 的 乘法 ,必须 先 确 定 一 个 GF(2) 上 的 8 次 不 可 约 多 项 式 ;GF(28) 上 
两 个 元 素 的 乘积 就 是 这 两 个 多 项 式 的 模 乘 (以 这 个 8 次 不 可 约 多 项 式 为 模 )。 在 Rijndael 
密码 中 ,这 个 8 次 不 可 约 多 项 式 确定 为 
7a(Z) = 二 x 十 x 十 x 十 x 十 1 
它 的 十 六 进 制 表示 为 11B。 
例如 ,57，83 二 C1l 可 表示 为 以 下 的 多 项 式 乘法 
(zs 十 太 十 zz 十 z 十 1) 。(z7 十 z 十 1) = 二 x 十 x 十 1(mod zzCz)) 
乘法 运算 虽然 不 是 标准 的 按 字 节 的 运算 ,但 也 是 比较 简单 的 计算 部 件 。 
以 上 定义 的 乘法 满足 交换 律 , 且 有 单位 元 01。 另 外 ,对 任何 次 数 小 于 8 的 多 项 式 
b(z) ,可 用 推广 的 欧 几 里 得 算法 得 
DC(z)a(Cz) 十 zaCZz)cCz) 一 1 
即 ecCz)。bCz) 王 1 mod m(z), 因 此 a(z) 是 5b(x) 的 乘法 逆 元 。 青 者 ,乘法 还 满足 分 配 律 : 
a(zx)。(b(7X)++ er)) = a(x) ob(7x) al(r) 。 cz) 
所 以 ,256 个 字 节 值 构成 的 集合 ,在 以 上 定义 的 加 法 和 乘法 运算 下 .有 有 限 域 GF (2) 
的 结构 。 
GF(2) 上 还 定义 了 一 个 运算 , 称 为 x 乘法 ,其 定义 为 
Xebr) = br br br thr ctor thr tor tbr(mod m(r)) 
如 果 6 二 0, 求 模 结 果 不 变 ,否则 为 乘积 结果 减 去 m(z), 即 求 乘积 结果 与 m(x) 的 异 或 。 
由 此 得 出 z( 十 六 进 制 02) 乘 56(z) 可 以 先 对 5b(z) 在 字 节 内 左 移 一 位 (最 后 一 位 补 0) , 若 
0 二 1 则 再 与 1B( 其 二 进 制 为 00011011) 做 逐 比 特异 或 来 实现 ,该 运算 记 为 4 一 xtime(a) 。 
在 专用 芯片 中 ,xtime 只 需 4 个 异 或 。z 的 寡 乘 运算 可 以 重复 应 用 xtime 来 实现 。 而 任意 
常数 乘法 可 以 通过 对 中 间 结 果 相 加 实现 。 
例如 ,57。13 可 实现 如 下 : 
57。02 = xtime(57) = AE 
57。04 = xtime(AE) = 47 
57。08 = xtime(47) = 8E 
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57。10 = xtime(8E) = 07 
57.13=57. (01@D02@10) 
=57@DAEB07= FE 


2 系数 在 GF(2) 上 的 多 项 式 
4 个 字 节 构成 的 向 量 可 以 表示 为 系数 在 GF(2*) 上 的 次 数 小 于 4 的 多 项 式 。 多 项 式 
的 加 法 就 是 对 应 系数 相 加 ; 换 句 话说 ,多 项 式 的 加 法 就 是 4 字 节 向 量 的 逐 比 特异 或 。 
规定 多 项 式 的 乘法 运算 必须 要 取 模 M(z) 二 x' 十 1, 这 样 使 得 次 数 小 于 4 的 多 项 式 的 
乘积 仍然 是 一 个 次 数 小 于 4 的 多 项 式 , 将 多 项 式 的 模 乘 运算 记 为 四 , 设 ecCz) 一 asxz? 十 
azz2 十 aiZz 十 aoyp(z) 王 bz 十 pz2 十 Diz 十 boyc(z) 一 aCz)GOp(Cz) 王 cszs 十 csz2 十 cz 十 
co。 由 于 xi mod(z 十 1) 一 zim, 所 以 
co = aobo 四 cp PD azb; PD aibs; 
cl 一 abo Bah Basbz BD azbs; 
= azbo 由 ap PB aobs PB asbs; 
cs = ab BD asby PB abs BP aobs。 














Q 
~ 
| 


可 将 上 述 计 算 表 示 为 


Co ao as as afoo 
Cl1 a ao aa az|| 六 
C2 全 az al ao as|| 2 
Cs aa ad a ao)\bs 


注意 到 M(xz) 不 是 GF(2*) 上 的 不 可 约 多 项 式 ( 甚 至 也 不 是 GF(2) 上 的 不 可 约 多 项 式 ) , 因 
此 非 0 多 项 式 的 这 种 乘法 不 是 群 运算 。 不 过 在 Rijndael 密码 中 ,对 多 项 式 b(x), 这 种 乘 
法 运算 只 限于 乘 一 个 固定 的 有 逆 元 的 多 项 式 ec(Cz) = aszs 十 az 十 az 十 ao。 有 如 下 的 
定理 。 

定理 3-1 系数 在 GF(2*) 上 的 多 项 式 cs 习 十 az 十 az 十 ao 是 模 妆 十 1 可 道 的 , 当 且 
仅 当 矩阵 


在 GF(28) 上 可 逆 。 
证 明 asz 切 十 aaz2 十 az 十 oo 是 模 二 十 1 可 逆 的 , 当 且 仅 当 存在 多 项 式 hsx’ 十 hsx? 十 
hiz 十 ho 使 得 


(aszs 十 azT? 十 qz 十 ao) (haz 十 hsx? 十 hz 十 ho) = 1(mod x 十 1) 
因此 有 

(aszs 十 azz2 十 ai 工 十 ao)(hszs 十 hx 十 hozx 十 hs) = x(mod x 十 1) 

(aszs 十 azz2 十 qz 十 ao) (hz 十 hox?: 十 haz 十 hs) = 二 x*(mod x 十 1) 


(asT 十 azz2 十 ai 工 十 ao)(hozs 十 hax? 十 hzz 十 hi) = x;(mod x 十 1) 
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将 以 上 关系 写成 矩阵 形式 即 得 
ao as as afh jj hi Wu “站 0 8 
aa as allh ho hs hi| lo100 
a a a allh hh ho hl loo10 
as as a ao)\hs jh h! ho 0 0 0 1 


(定理 3-1 证 毕 ) 
c(X) 二 x@b(z) 定 义 为 xz 与 5(x) 的 模 x! 十 1 乘法, 即 c(x)== x@b(x)= bx’ 十 
D1X’ 十 box 十 bs。 其 矩阵 表示 中 , 除 a 二 01 外 ,其 他 所 有 a; 二 00, 即 
Co 00 00 00 01\fbo 
Cl 01 00 00 00|Ib 
C2 00 01 00 00||2 
cs 00 00 01 00 八 w 
因此 ,z( 或 z 的 寡 ) 模 乘 多 项 式 相 当 于 对 字 节 构成 的 向 量 进 行 字 节 循环 移 位 。 


3. 设计 思 想 

Rijndael 密码 的 设计 力求 满足 以 下 3 条 标准 : 

(1) 抵抗 所 有 已 知 的 攻击 。 

(2) 在 多 个 平台 上 速度 快 ,编码 紧凑 。 

(3) 设计 简单 。 

当前 的 大 多 数 分 组 密码 ,其 轮 函数 是 Feistel 结构 ,即将 中 间 状 态 的 部 分 比特 不 加 改 
变 地 简单 放置 到 其 他 位 置 。Rijndael 没有 这 种 结构 ,其 轮 函 数 是 由 3 个 不 同 的 可 逆 均 匀 
变换 组 成 的 , 称 它们 为 3 个 “ 层 ”。 所 谓 “ 均 匀 变 换 ”, 是 指 状态 的 每 个 比特 都 是 用 类 似 的 方 
法 进行 处 理 的 。 不 同 层 的 特定 选择 大 部 分 是 建立 在 “ 宽 轨迹 策略 ”的 应 用 基础 上 的 ;简单 
地 说 ,“ 宽 轨迹 策略 "就 是 提供 抗 线 性 密码 分 析 和 差分 密码 分 析 能 力 的 一 种 设计 。 为 实现 
宽 轨 迹 策略 , 轮 函数 3 个 层 中 的 每 一 层 都 有 它 自 己 的 功能 。 

(1) 线性 混合 层 : 确保 多 轮 之 上 的 高 度 扩散 。 

(2) 非 线性 层 : 将 具有 最 优 的 “最 坏 情 况 非 线性 特性 ”的 S 盒 并 行使 用 。 

(3) 密 钥 加 层 : 单 轮子 密 钥 简单 地 异 或 到 中 间 状 态 上 ,实现 一 次 性 掩盖 。 

在 第 一 轮 之 前 ,用 了 一 个 初始 密 钥 加 层 , 其 目的 是 在 不 知道 密 钥 的 情况 下 ,对 最 后 一 
个 密 钥 加 层 以 后 的 任 一 层 ( 或 者 是 当 进 行 已 知 明文 攻击 时 ,对 第 一 个 密 钥 加 层 以 前 的 任 一 
层 ) 可 简单 地 剥 去 ,因此 初始 密 钥 加 层 对 密码 的 安全 性 无 任何 意义 。 许 多 密码 的 设计 中 都 
在 轮 变 换 之 前 和 之 后 用 了 密 钥 加 层 , 如 IDEA、SAFER 和 Blowfish。 

为 了 使 加 密 算法 和 解密 算法 在 结构 上 更 加 接近 ,最 后 一 轮 的 线性 混合 层 与 前 面 各 轮 
的 线性 混合 层 不 同 ,这 类 似 于 DES 的 最 后 一 轮 不 做 左右 交换 一 样 。 可 以 证 明 这 种 设计 不 
以 任何 方式 提高 或 降低 该 密码 的 安全 性 。 


362 算法 说 明 


Rijndael 是 一 个 迭代 型 分 组 密码 ,其 分 组 长 度 和 密 钥 长 度 都 可 变 ,各 自 可 以 独立 地 指 
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定 为 128 比特 、192 比特 .256 比特 。 


1. 状态 .种子 密 钥 和 轮 数 

类 似 于 明文 分 组 和 密 文 分 组 ,算法 的 中 间 结 果 也 需 分 组 , 称 算法 中 间 结 果 的 分 组 为 状 
态 , 所 有 的 操作 都 在 状态 上 进行 。 状 态 可 以 用 以 字 节 为 元 素 的 矩阵 阵列 表示 ,该 阵列 有 
4 行 , 列 数 记 为 Ne,Ns 等 于 分 组 长 度 除 以 32。 

种 子 密 钥 类 似 地 用 一 个 以 字 节 为 元 素 的 矩阵 阵列 表示 ,该 阵列 有 4 行 , 列 数 记 为 N,， 
入 等 于 分 组 长 度 除 以 32。 表 3-8 是 Ni 二 6 的 状态 和 Ni 二 4 的 种 子 密 钥 的 矩阵 阵列 
表示 。 

表 3-8 N, 二 6 的 状态 和 N 一 4 的 种 子 密 钥 
































Qoo aol ao2 aos ao aos koo ko ko2 kos 
ano an Ql a an as kio Ai ks ks 
Q20 aa21 az2 a23 Qa24 aa25 kzo kz zz kzs 
aao aal aaz Qa3 aa4 aa5 kso ks ksz kss 


有 时 可 将 这 些 分 组 当 作 一 维 数组 ,其 每 一 元 素 是 上 述 阵 列表 示 中 的 4 字 节 元 素 构成 
的 列 向 量 ,数组 长 度 可 为 4.6、8, 数 组 元 素 下 标的 范围 分 别 是 0 一 3 .0 一 5 和 0 一 7。4 字 节 
元 素 构成 的 列 向 量 有 时 也 称 为 字 。 

算法 的 输入 和 输出 被 看 成 是 由 8 比特 字 节 构 成 的 一 维 数组 ,其 元 素 下 标的 范围 是 0 一 
(4N, 一 1) ,因此 输入 和 输出 以 字 节 为 单位 的 分 组 长 度 分 别 是 16、24 和 32, 其 元 素 下 标的 
范围 分 别 是 0 一 15.0~~23 和 0 一 31。 输 入 的 种 子 密 钥 也 看 成 是 由 8 比特 字 节 构成 的 一 维 
数组 ,其 元 素 下 标的 范围 是 0 一 (4Nx 一 1) ,因此 种 子 密 钥 以 字 节 为 单位 的 分 组 长 度 也 分 别 
是 16、24 和 32, 其 元 素 下 标的 范围 分 别 是 0 一 15 .0 一 23 和 0 一 31。 

算法 的 输入 (包括 最 初 的 明文 输入 和 中 间 过 程 的 轮 输入 ) 以 字 节 为 单位 按 aooaioaso 
asoaolalla2lasl… 的 顺序 放置 到 状态 阵列 中 。 同 理 , 种 子 密 钥 以 字 节 为 单位 按 koo kio kzo kso 
korkukzaka… 的 顺序 放置 到 种 子 密 钥 阵列 中 。 而 输出 (包括 中 间 过 程 的 轮 输 出 和 最 后 的 
密 文 输出 ) 也 是 以 字 节 为 单位 按 相同 的 顺序 从 状态 阵列 中 取出 。 若 输入 (或 输出 ?分 组 中 
第 n 个 元 素 对 应 于 状态 阵列 的 第 (i, 站 位 置 上 的 元 素 , 则 nn 和 (i, 站 有 以 下 关系 : 

i=nmod4; 了 一 bx n=i 二 + 条 
迭代 的 轮 数 记 为 N,,N, 与 Ns, 和 Ni 有 关 , 表 3-9 给 出 了 NN, 与 Ne 和 Nu 的 关系 。 
表 3-9 迁 代 轮 数 N, 为 Ne 和 N 的 函数 














N, N=4 N,=6 N=8 
Ni:=4 10 12 14 
N:=6 12 12 14 
N:=8 14 14 14 
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2 轮 函 数 

Rijndael 的 轮 函 数 由 4 个 不 同 的 计算 部 件 组 成 ,分 别 是 字 节 代 换 (ByteSub)、 行 移 位 
(ShiftRow) 、 列 混合 (MixColumn) 、 密 钥 加 (AddRoundKey) 。 

1) 字 节 代 换 

字 节 代 换 (ByteSub) 是非 线性 变换 ,独立 地 对 状态 的 每 个 字 节 进 行 。 代 换 表 ( 即 S 
盒 ) 是 可 逆 的 ,由 以 下 两 个 变换 的 合成 得 到 : 

(1) 首先 ,将 字 节 看 作 GF(28) 上 的 元 素 , 映 射 到 自己 的 乘法 逆 元 ,00 映射 到 自己 。 

(2) 其 次 ,对 字 节 做 如 下 的 C(GF(2) 上 的 ,可 逆 的 ) 仿 射 变换 : 


Yo 10 .00 1 1 1 1Nfzo 于 

Yi 0 0 ,I 1 

?2 1 11000 小 二 0 

ys 0 0 0 il 0 

yl li11110 0 olltlo 

ys Oillilll0 Ol 1 

ml lo wy Eb la 

yy) 0 00 Tt Wa 
上 述 S 盒 对 状态 的 所 有 字 节 所 做 的 变换 记 为 : 
ByteSub(State) 


图 3-19 是 字 节 代 换 示意 图 。 








ao | ao | ao | oo | oo | qos | 弗 ~ | bo | bo | bos | bos | bos 

























































































3-19” 字 节 代 换 示意 图 


ByteSub 的 道 变换 由 代 换 表 的 逆 表 做 字 节 代 换 ,可 通过 如 下 两 步 实现 : 首先 进行 仿 
射 变换 的 逆 变 换 , 再 求 每 一 字 节 在 GF(2*) 上 逆 元 。 
2) 行 移 位 
行 移 位 (ShiftRow) 是 将 状态 阵列 的 各 行进 行 循环 移 位 ,不 同 状 态 行 的 位 移 量 不 同 。 
第 0 行 不 移动 ,第 1 行 循 环 左 移 Ci 个 字 节 ,第 2 行 循环 左 移 C* 个 字 节 ,第 3 行 循环 左 移 
Cs 个 字 节 。 位 移 量 C1 、C; .Cs 的 取 值 与 Ns, 有 关 , 由 表 3-10 给 出 。 
表 3-10 ”对 应 于 不 同 分 组 长 度 的 位 移 量 











Ns C C: Cs 
4 2 3 
6 1 2 3 
8 LE 3 4 
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按 指定 的 位 移 量 对 状态 的 行进 行 的 行 移 位 运算 记 为 ， 










































































ShiftRow(State) 
图 3-20 是 行 移 位 示意 图 。 
左 移 0 位 

E 

Go0 | aol | 5o | ao | G04 | aos 左 移 1 位 To [| or T os | os | Tos Pos 
t 

ai | al | | a | | as 左 移 2 位 ol | 3 Ts | ao 
Et 

G0 | @21 | G2 | 223 | 024 | 025 左 移 3 位 “| 人 2 | 22 024 2 0 | 221 
i 

Go | @31 | 032 | 033 | 034 | 035 33 | 34 ss ao | 1 | 9 















































图 3-20 行 移 位 示意 图 


ShiftRow 的 逆 变 换 是 对 状态 阵列 的 后 3 列 分 别 以 位 移 量 Ns 一 Ci、N, 一 Cs、N 一 Cs 
进行 循环 移 位 ,使 得 第 i 行 第 j 列 的 字 节 移 位 到 (十 N, 一 Ci)mod No 。 

3) 列 混合 

在 列 混合 (MixColumn) 变 换 中 ,将 状态 阵列 的 每 个 列 视 为 GF(28) 上 的 多 项 式 , 再 与 
一 个 固定 的 多 项 式 c(z) 进 行 模 x 十 1 乘法 。 当 然 要 求 c(z) 是 模 x 十 1 可 道 的 多 项 式 , 否 
则 列 混合 变换 就 是 不 可 逆 的 ,因而 会 使 不 同 的 输入 分 组 对 应 的 输出 分 组 可 能 相同 。 
Rijndael 的 设计 者 给 出 的 c(z) 为 (系数 用 十 六 进 制 数 表示 ): 

c(Cz) 一 03zs 十 01z2 十 01z 十 02 
c(z) 是 与 x 十 1 互 素 的 ,因此 是 模 zx! 十 1 可 逆 的 。 列 混合 运算 也 可 写 为 矩阵 乘法 。 设 
bz) 一 c(Cz)GCa(Cz), 则 
bo 02 03 01 01l\fao 


mh| lol oz 03 ollla 
ba| |o1 01 02 03||a; 
ba) \03 01 01 02/\a, 


这 个 运算 需要 做 GF(2*) 上 的 乘法 ,但 由 于 所 乘 的 因子 是 3 个 固定 的 元 素 02、03、01， 
所 以 这 些 乘 法 运算 仍然 是 比较 简单 的 。 
对 状态 State 的 所 有 列 所 做 的 列 混合 运算 记 为 : 
MixColumn(State) 
图 3-21 是 列 混合 运算 示意 图 。 
























































a 
oy bo 
a [aor | ao) Jaw [ ows] @ec) |e | om Yo oos | oo0r | bos 
ao | an | az| 和 faa | as bio | bN by |Jobs | bus | bs 
ao | ol | oo ay Jon | ts bo | by] 六 |b23 | bos | bs 
了 
wo | 01 | 生 034 | 05 byo | bal bs | b3a | bas 
ay b. 
3 
































图 3-21 列 混合 运算 示意 图 
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列 混合 运算 的 逆 运 算是 类 似 的 , 即 每 列 都 用 一 个 特定 的 多 项 式 4(x) 相 乘 。d (zx) 
满足 
(03zs 十 01zz 十 01z 十 02) @d(z) = 01 
由 此 可 得 
d(z) 一 0Bzs 十 0Dz2? 十 09z 十 0E 
4) 密 钥 加 
密 钥 加 (AddRoundKey) 是 将 轮 密 钥 简单 地 与 状态 进行 逐 比 特异 或 。 轮 密 钥 由 种 子 
密 钥 通过 密 钥 编排 算法 得 到 , 轮 密 钥 长 度 等 于 分 组 长 度 N,。 
状态 State 与 轮 密 钥 RoundKey 的 密 钥 加 运算 表示 为 : 
AddRoundKey(State, RoundKey) 
图 3-22 是 密 钥 加 运算 示意 图 。 



















































































aoo | aol | G02 | G03 | ao4 boo | bo | oo | bos | 50 | bos 
alo | on | 2l | 23 | 914 bio | on 12 | 03 | ba | bis 
ao | G21 | G22 | 03 | 024 ， bo | ba | bs | bas | baa | bs 
0 | 9 | a | 033 | O34 bso | b3t | b32 | b33 | bss | bss 
3-22 ” 密 钥 加 运算 示意 图 
密 钥 加 运算 的 逆 运 算是 自己 。 


综 上 所 述 , 组 成 Rindael 轮 函数 的 计算 部 件 简洁 快速 ,功能 互补 。 轮 函数 的 伪 C 代 
码 如 下 : 


Round (State, FouncEey) 
‘ 

ByteSib (State); 

ShiftRow (State); 

MixColumn (State); 

PHRoundkey (State, Roundkey) 
} 


结尾 轮 的 轮 函数 与 前 面 各 轮 不 同 , 将 MixColumn 这 一 步 去 掉 。 


FinalRound (State, RoundKey) 
{ 
ByteSub (State); 
ShiftRow (State); 
PodRoundKey (State，RouncFeY) 
} 


在 以 上 伪 C 代码 记 法 中 ,State、RoundKey 可 用 指针 类 型 ,函数 Round、FinalRound、 
ByteSub .ShiftRow、MixColumn、AddRoundKey 都 在 指针 State、RoundKey 所 指向 的 阵 
列 上 进行 运算 。 

65 


现代 密码 学 (第 4 版 ) Eeee 


3. 密 钥 编排 

密 钥 编排 是 指 从 种 子 密 钥 得 到 轮 密 钥 的 过 程 , 它 由 密 钥 扩 展 和 轮 密 钥 选 取 两 部 分 组 
成 ,其 基本 原则 如 下 : 

(1) 轮 密 钥 的 比特 数 等 于 分 组 长 度 乘 以 轮 数 加 1; 

(2) 种 子 密 钥 被 扩展 成 为 扩展 密 钥 ; 

(3) 轮 密 钥 从 扩展 密 钥 中 取 , 其 中 第 1 轮 轮 密 钥 取 扩 展 密 钥 的 前 N, 个 字 , 第 2 轮 轮 
密 钥 取 接 下 来 的 N, 个 字 , 如 此 下 去 。 

1) 密 钥 扩展 

扩展 密 钥 是 以 4 字 节 字 为 元 素 的 一 维 阵列 ,表示 为 WCLN * (N, 十 1)], 其 中 前 Ni 个 
字 取 为 种 子 密 钥 ,以 后 每 个 字 按 递归 方式 定义 。 扩 展 算法 根据 N 委 6 和 Ni 之 6 有 所 
不 同 。 

当 N 达 6 时 ,扩展 算法 为 


FeyEwpansion (byte Key[4* N] , WE * +1)]) 
{ 
For(i=0; iKN; 计 +) 
WLil= (Key[4* i], Key[4* i+1], Key[4* i+ 2], Key[4* i+ 3]); 
For(i=N; KN* +D7 it+) 
{ 
tenp=W[i- 1]; 
if(i %$N==0) 
temp= SubByte (RotByte (terp)) ‘Roon[i/N]; 
WLi]=W[i- N. ] temp; 


} 


其 中 Key[4 * No 为 种 子 密 钥 ,看 作 以 字 节 为 元 素 的 一 维 阵列 。 函 数 SubByte() 返 回 4 字 
节 字 ,其 中 每 一 个 字 节 都 是 用 Rijndael 的 S 合作 用 到 输入 字 对 应 的 字 节 得 到 。 函 数 
RotByte() 也 返回 4 字 节 字 , 该 字 由 输入 的 字 循 环 移 位 得 到 , 即 当 输入 字 为 (a, b, c,d) 
时 ,输出 字 为 (56, c,d, a)。 

可 以 看 出 ,扩展 密 钥 的 前 Ni 个 字 即 为 种 子 密 钥 ,之 后 的 每 个 字 W[ 站 等 于 前 一 个 字 
W[i 一 1] 与 Ni 个 位 置 之 前 的 字 W[i 一 Ni] 的 异 或 ;不 过 当 i/ Ni 为 整数 时 , 须 先 将 前 一 个 
字 W[i 一 1] 经 过 以 下 一 系列 的 变换 : 

1 字 节 的 循环 移 位 RotByte 习 用 S 盒 进行 变 换 SubByte 习 异 或 轮 常数 Reon[i/ Ni ]。 

当 Ne>6 时 ,扩展 算法 为 


了 EYEspansicn (oyte Key[4* N] , WE * Q+1)]) 
{ 
For(i=0; i<NM; 计 +) 
W[il= (Key[4* i], Key[4* i+1], Key[4* i+2], Key[4* i+ 3]); 
For(i=N; KN* N+1); it+) 
{ 
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tap=W[i— 1]; 
if(i $M==0) 

temp= SukbByte (RotByte (temp) ) Rom[i/N.]; 
else if(isNK==4) 

tem= SubByte (tap); 
W[il=W[i- N. ] “temp; 


. 


Ne>6 与 Ni 二 6 的 密 钥 扩展 算法 的 区 别 在 于 : 当 i 为 N; 的 4 的 倍数 时 , 需 先 将 前 一 
个 字 W[i 一 1] 经 过 SubByte 变换 。 
以 上 两 个 算法 中 ,Reon[i/Ni] 为 轮 常数 ,其 值 与 Ni; 无关 ,定义 为 ( 字 节 用 十 六 进 制 表 
示 , 同 时 理解 为 GF(2*) 上 的 元 素 ): 
Reon[i] = (RC[i].00,00,00) 
其 中 RC[z 是 GF(28) 中 值 为 xz! 的 元 素 , 因 此 
RC[1] = 1( 即 01) 
RC[i] = z( 即 02)。RCL 一 1] = xz! 
2) 轮 密 钥 选取 
轮 密 钥 i( 即 第 i 个 轮 密 钥 ) 由 轮 密 钥 缓冲 字 W[N x* i ] 到 W[N。 x* (i 十 1) 一 1j 给 
出 ,如 图 3-23 所 示 。 

















图 3-23 N= 二 6 且 N 一 4 时 的 密 钥 扩展 与 轮 密 钥 选取 


4 加 密 算 法 
加 密 算 法 为 顺序 完成 以 下 操作 : 初始 的 密 钥 加 ;(N, 一 1) 轮 迭代 ;一 个 结尾 轮 。 即 
Rijndael (State, Cipherkey) 
. 
FeyExpansicn (Cipherkey, Expandedkey); 
PodRondKey (State, ExpandedKey); 
For(i=1; iKN; it+) Round(State, ExpandedKey+ N * i); 
FinalRound (State, FspandedKey+ L * NK) 
} 


其 中 CipherKey 是 种 子 密 钥 ,ExpandedKey 是 扩展 密 钥 。 密 钥 扩 展 可 以 事先 进行 (预计 
算 ), 且 Rijndael 密码 的 加 密 算法 可 以 用 这 一 扩展 密 钥 来 描述 : 
Rijndael (State, ExpandedKey) 


PGaRcunqFey (State, ExpandeoKey); 
For(i=1; i<N; it+) Round(State, ExpandedKey+t NW * i); 
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EinalRound (State, FxpandedKey+ N * KN) 
} 


5 加 解密 的 相近 程度 及 解密 算法 

首先 给 出 以 下 的 结论 。 

引 理 3-1 设 字 节 代 换 (ByteSub)、 行 移 位 (ShiftRow) 的 逆 变 换 分 别 为 InvByteSub、 
InvShiftRow, 则 组 合 部 件 ByteSub->ShiftRow 的 逆 变 换 为 InvByteSub 一 InvShiftRow。 

证 明 组 合 部 件 ByteSub 一 ShiftRow 的 逆 变 换 原本 为 InvShiftRow 一 InvByteSub。 
由 于 字 节 代 换 (ByteSub) 是 对 每 个 字 节 进行 相同 的 变换 , 故 InvShiftRow 与 InvByteSub 
两 个 计算 部 件 可 以 交换 顺序 。 

( 引 理 3-1 证 毕 ) 

引 理 3-2” 设 列 混合 (MixColumn) 的 逆 变 换 为 InvMixColumn, 则 列 混合 部 件 与 密 钥 

加 部 件 (AddRoundKey) 的 组 合 部 件 
MixColumn-~AddRoundKey(。，Key) 
的 逆 变 换 为 
InvMixColumn~~AddRoundKey(。，InvKey) 

其 中 密 钥 InvKey 与 Key 的 关系 为 : InvKey 王 InvMixColumn(CKey) 。 

证 明 组 合 部 件 MixColumn-~>AddRoundKey(。，Key) 的 道 变 换 原本 为 

AddRoundKey(。，Key) 一 InvMixColumn 
设 S 和 开 分 别 表示 状态 阵列 和 轮 密 钥 阵列 ,由 于 
(3 四 KJ)QdCz) = (SO@d(zr)) BK Od(z)) 
所 以 
AddRoundKey(*, Key) —> InvMixColumn 
=InvMixColumn —> AddRoundKey(。，InvMixColumn(CKey)) 
( 引 理 3-2 证 毕 ) 

引 理 3-3 ”将 某 一 轮 的 后 两 个 计算 部 件 和 下 一 轮 的 前 两 个 计算 部 件 组 成 组 合 部 件 ， 

该 组 合 部 件 的 程序 为 


MixColum (State); 
RGHRoundFey (State, Key(i)); 
ByteSib (State); 
ShiftRow (State) 
则 该 组 合 部 件 的 逆 变 换 程序 为 


IrvByteSb (State); 

IrvshiftRow (State); 

Irm MixColinm (State); 

PodRoundFey (State，IrvMixColumn (Key(i))) 


证 明 这 是 引 理 3-1 和 引 理 3-2 的 直接 推论 。 
应 注意 ,在 引 理 3-3 所 描述 的 逆 变 换 中 ,第 2 步 到 第 4 步 在 形状 上 很 像 加 密 算法 的 轮 
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函数 ,这 将 是 解密 算法 的 轮 函数 。 注 意 到 结尾 轮 只 有 3 个 计算 部 件 ,因此 得 到 以 下 定理 。 
定理 3-2 ”Rijndael 密码 的 解密 算法 为 顺序 完成 以 下 操作 : 初始 的 密 钥 加 ;(N, 一 1) 
轮 迭 代 ; 一 个 结尾 轮 。 其 中 解密 算法 的 轮 函 数 为 


IrvRound (State, RoundKey) 
' 
IJnvByteSub (State)7 
InvshiftRow(State)7 
InvMixColumn (State)7 
ModRondKey (State, RoundKey) 
} 


解密 算法 的 结尾 轮 为 


IrvFinalRound (State, RoundKeV) 
{ 
IrvByteSub (State); 
IrvShiftRow (State); 
DodRoundKey (State, RoundKey) 
} 
设 加 密 算法 的 初始 密 钥 加 、 第 1 轮 、 第 2 轮 、……… ` 第 N, 轮 的 子 密 钥 依次 为 
&(0)，&(1)，A(C2)，…，ARCN. 一 1)，RCN.) 
则 解密 算法 的 初始 密 钥 加 、 第 1 轮 、 第 2 轮 、…… \ 第 N, 轮 的 子 密 钥 依次 为 
k(N,), InvMixColumn (k (N,— 1)), InvMixColumn (k (N, 一 2))，…， 
InvMixColumn(k(1)), k(0), 
证 明 这 是 上 述 3 个 引 理 的 直接 推论 。 
综 上 所 述 ,Rijndael 密码 的 解密 算法 与 加 密 算 法 的 计算 网 络 都 相同 ,只 是 将 各 计算 部 
件 换 为 对 应 的 逆 部 件 。 


37 中 国 商用 密码 算法 SM4 





SM4 算法 是 用 于 WAPI 的 分 组 密码 算法 .是 2006 年 我 国 国家 密码 管理 局 公布 的 国 
内 第 一 个 商用 密码 算法 。 

SM4 算法 是 分 组 密码 算法 ,其 中 数据 分 组 长 度 为 128 比特 , 密 钥 分 组 长 度 也 为 
128 比特 。 加 密 算法 与 密 钥 扩展 算法 都 采用 32 轮 迭 代 结 构 , 以 字 节 (8 位 ) 和 字 (32 位 ) 为 
单位 进行 数据 处 理 。 

1. 基本 运算 

SM14 密码 算法 的 基本 运算 有 模 2 加 和 循环 移 位 。 

(1) 模 2 加: 记 为 田 , 为 32 位 逐 比 特异 或 运算 。 

(2) 循环 移 位 : 二 二 过 i, 把 32 位 字 循 环 左 移 i 位。 
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2 基本 密码 部 件 
玉芝 使 
S 盒 是 以 字 节 为 单位 的 非 线性 替换 ,其 密码 学 作用 是 混淆 , 它 的 输入 和 输出 都 是 8 位 
的 字 节 。 设 输入 字 节 为 a, 输 出 字 节 为 5, 则 S 盒 的 运算 可 表示 为 : 
0 一 SCo) 
S 盒 的 替换 规则 如 表 3-11 所 示 。 例 如 输入 为 EF , 则 输出 为 第 下 行 与 第 F 列 交叉 处 
的 值 84, 即 SCEF) 一 84。 


表 3-11 SM4 密码 算法 的 S 盒 








































































































人 7 D4|00|146|157|9F|D3|27|52|4C|36|02|E7|Ao|Cc4|C8| 9E 
位 8 |EA|BF|8A|D2|40|C7|38|B5|A3|IF7|F2|CE|F9|61|15| Al 
9 Eo0|AE|5D|A4|9B|34|1A|55|AD|I93|32|30|F5|8C|IB| E3 
A |1D|IF6é6|E2|2E|82|66|CA|I60|C0|29|23|AB|IoD|S53 |4E| 6F 
B |Ds|DB|37|45|DE|FD|SE|2F|03|FF|6A|72 |6D|6C|5B| 51 
C 8D|1B|AF|92|BB|IDD|IBC|I7F|I11|ID9|5C|41|1F|10|5A| D8 
D |0oAlcll31|88|A5|cDi|7B|BD|2D|74|Dpo|12|B8|E5|B4 | Bo 
E 89 |69 |97 |4A|oCc|96177 |7E|65 | 了 B9 |FL|09|1Cc5|6E|C6 | 84 
F 18 | Fo |7D|EC|3A|DC|4D|20 |79 |EE| SF|3E|D? |CB| 39 48 
2) 非 线性 变换 = 


非 线性 变换 = 是 以 字 为 单位 的 非 线性 替换 , 它 由 4 个 S 盒 并 置 构成 。 设 输入 为 A= 
(ao ,alyaz ,as)(4 个 32 位 的 字 ) ,输出 为 B= 二 (bo .2 .0 ,03)(4 个 32 位 的 字 ), 则 
B= (bbi,bs sb3) = tA) = (S(ao),S(a),S(as),S(as)) (3-1) 
3) 线性 变换 部 件 
线性 变换 部 件 工 是 以 字 为 处 理 单位 的 线性 变换 ,其 输入 输出 都 是 32 位 的 字 , 它 的 密 
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码 学 作用 是 扩散 。 
设 工 的 输入 为 字 B, 输 出 为 字 C, 则 
C=L(B)= BB<<<2)®B<<<10)®(B<<<18)®(B<<<24) 
(3-2) 
4) 合成 变换 工 
合成 变换 由 非 线 性 变换 + 和 线性 变换 工 复合 而 成 ,数据 处 理 的 单位 是 字 。 设 输入 
为 字 X, 则 先 对 X 进行 非 线性 r 变换 ,再 进行 线性 工 变换 。 记 为 
T(X) = L(r(X)) (3-3) 
由 于 合成 变换 工 是 非 线 性 变换 r 和 线性 变换 工 的 复合 ,所 以 它 综 合 起 到 混淆 和 扩散 
的 作用 ,从 而 可 提高 密码 的 安全 性 。 
3. 轮 函 数 
轮 函数 由 上 述 基本 密码 部 件 构 成 。 设 轮 函 数 下 的 输入 为 4 个 32 位 字 (Xo, Xi,X,， 
Xs), 共 128 位 , 轮 密 钥 为 一 个 32 位 的 字 rk。 输 出 也 是 一 个 32 位 的 字 ,由 下 式 给 出 : 
F(Xo, Xi, Xs, Xs,rk) = Xo 四 TOX D X D Xs D rk) 
根据 式 (3-3) ,有 
F(Xo, Xi, Xs, Xs,rk) = Xo 四 LOCrCX D Xs D Xs D rk)) 
记 B= 二 (X1X, 办 Xrk) ,根据 式 (3-1) 和 式 (3-2) ,有 
0 4. fe 
一 Xo 四 [S(B)]® [SCB) <<<2]® [SCB) <<<= 10] 
© [SCB) <<= 18]® [SCB) <<<= 24] 
轮 函 数 的 结构 如 图 3-24 所 示 。 


4. 加密 算法 

加 密 算法 采用 32 轮 迭 代 结构 ,每 轮 使 用 一 个 轮 密 钥 。 

设 输入 的 明文 为 4 个 字 (CXu ,Xi ,Xs,X:)(128 比特 长 ), 输 入 的 轮 密 钥 为 rk; (i 二 0， 
1,…,31), 共 32 个 字 。 输 出 的 密 文 为 4 个 字 (Y。 ,Yi,Y; ,Ys)(128 比特 长 )。 加 密 算法 可 
描述 如 下 : 

We (Ni tk 
=X; OT(Xn D Xis DB Xis DB rki) i = 0,1,.%,31) 

为 了 与 解密 算法 需要 的 顺序 一 致 ,同时 也 与 人 们 的 习惯 顺序 一 致 ,在 加 密 算法 之 后 还 
需要 一 个 反 序 处 理 R: 

CY: = = Re 

加 密 算法 的 框图 如 图 3-24 所 示 。 

5. 解密 算法 

解密 算法 与 加 密 算 法 相同 ,只 是 轮 密 钥 的 使 用 顺序 相反 ,解密 轮 密 钥 是 加 密 轮 密 钥 的 
逆序 。 

算法 的 输入 为 密 文 (Yo ,Yi,Y,,Y;) 和 轮 密 钥 rk; (i 二 31,30,…,1,0), 输 出 为 明文 
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128 比 特 明文 



























































第 32 轮 
X33 X33 X34 
反 序 变换 R 
nn | 全 























3-24 ”SM4 算法 的 加 密 算法 和 轮 函 数 结构 图 


《Xoy XisXssXs)。 根据 式 (3=7)y(705Y YY )=(XwoisXinsXa)s 为 了 便于 与 加 
密 算法 对 照 ,解密 算法 中 仍然 用 X; 表示 密 文 。 于 是 可 得 到 如 下 的 解密 算法 。 

解密 算法 : 

= 
=Xin 四 TOXa D Xins DB Xn BD rki) (i = 31,30,°%,1,0) 

与 加 密 算法 之 后 需要 一 个 反 序 处 理 同样 的 道理 ,在 解密 算法 之 后 也 需要 一 个 反 序 处 

理 R: 
CR = Ry 


6. 密 钥 扩展 算法 
SM4 算法 加 密 时 输入 128 位 的 密 钥 , 采 用 32 轮 迭 代 结 构 , 每 一 轮 使 用 一 个 32 位 的 
轮 密 钥 , 共 使 用 32 个 轮 密 钥 。 使 用 密 钥 扩展 算法 ,从 加 密 密 钥 产生 出 32 个 轮 密 钥 。 
1) 常数 FK 
在 密 钥 扩 展 中 使 用 如 下 的 常数 : 
FKo = (A3BI1BAC6), FK, = (56AA3350), 
FK;: = (677D9197), FKs = (B27022DC) 
2) 固定 参数 CK 
共 使 用 32 个 固定 参数 CK; ,每 个 CK; 是 一 个 字 ,其 产生 规则 如 下 : 
设 ck 为 CK; 的 第 j 字 节 (i 二 0,1,…,31;j 二 0,1,2,3), 即 CK; 二 (cki,o, cki ,cki,s， 
ckis) , 则 cki,j 二 (4i 二 j) X7Cmod 256) 
这 32 个 固定 参数 如 下 (十 六 进 制 ): 
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00070E15, 1C232A31, 383F464D, 545B6269 
70777E85, 8C939AAl1, A8AFB6BD, C4CBD2D9 
EOE7EEF5, FC030A11， 181F262D, 343B4249 
50575E65, 6C737A81, 888F969D, A4ABB2B9 
COC7CED5, DCE3EAF]1, F8FF060D, 141B2229 
30373E45, 4C535A61, 686F767D, 848B9299 
AOA7AEB5, BCC3CAD1， D8DFE6ED, F4FB0209 
10171E25, 2C333A41, 484F565D, 646B7279 
3) 密 钥 扩展 算法 
设 输入 的 加 密 密 钥 为 MK 二 (MK。,MKi ,MK: ,MK;), 输 出 轮 密 钥 为 rk; (i 二 0,1,…， 
30,31) , 密 钥 扩 展 算法 可 描述 如 下 ,其 中 K;(i==0,1,…,35) 为 中 间 数 据 : 
(1) (Ko, Ki,K;,Ks)= (MKo DFKo, MKDFK: ,MK: 中 FK, ,MK: 中 FK:) 
(2) For i=0,1,.…,31 Do 
rki: = Ka = K;: DT (Kin © Ki © Kas O CK,) 
其 中 的 变换 TT 与 加 密 算法 轮 函数 中 的 基本 相同 ,只 将 其 中 的 线性 变化 工 修改 为 以 下 
的 区 : 
L’(B) = B®@(B<<<13)®(B<<<23) 
密 钥 扩展 算法 的 结构 与 加 密 算 法 的 结构 类 似 , 也 是 采用 了 32 轮 的 迭代 处 理 。 


3.8 祖冲之 密码 





祖冲之 密码 算法 (ZUC) 的 名 字源 于 我 国 古 代数 学 家 祖冲之 ,由 信息 安全 国家 重点 实 
验 室 等 单位 研制 ,2011 年 9 月 被 批准 成 为 新 一 代 宽 带 无 线 移动 通信 系统 (LTE) 的 国际 标 
准 , 即 4G 的 国际 标准 。 

算法 以 分 组 密码 的 方式 产生 面向 字 的 流 密 码 所 用 的 密 钥 流 , 算 法 的 输入 是 128 比特 
的 初始 密 钥 和 128 比特 的 初始 向 量 (IV) ,输出 是 以 32 比特 长 的 字 ( 称 为 密 钥 字 ) 为 单位 
的 密 钥 流 。 


38.1 算法 中 的 符号 及 含义 


1 数 制 表示 

下 面 整数 如 果 不 加 特殊 说 明 都 为 十 进 制 , 如 果 有 前 缀 0x, 则 表示 十 六 进 制 ,如 果 有 下 
标 2, 则 表示 二 进 制 。 

例如 ,整数 可 以 有 以 下 不 同 数 制 表示 形式 。 


a 一 1234567890 十 进 制 表 示 
一 0x499602D2 十 六 进 制 表 示 
一 1001001100101100000001011010010。 二 进 制 表示 

2 数据 位 序 


下 面 所 有 数据 的 最 高 位 (或 字 节 ) 在 左边 ,最 低位 (或 字 节 ) 在 右边 。 如 a = 
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1001001100101100000001011010010, ,a 的 最 高 位 为 其 最 左边 一 位 1,a 的 最 低位 为 其 最 
右边 一 位 0。 














3. 运算 符号 表示 

站 两 个 整数 加 

ab 两 个 整数 a 和 4 相 乘 

= 赋值 运算 

mod 整数 取 模 

© 整数 间 逐 比特 异 或 ( 模 2 加 ) 
后 模 2* 加 

allb 串 a 和 2 级 联 

QQ 整数 a 的 高 (最 左 )16 位 
ar 整数 a 的 低 ( 最 右 )16 位 
a<=<=<k a 循环 左 移 k 位 

a>>1 a 右 移 一 位 


(aa ao) 一 (0) “a; 到 6b; 的 并 行 赋 值 
例如 ,a 二 0x1234,6 二 0x5678,c 二 a|16 二 0x12345678。 
例如 ,a 二 1001001100101100000001011010010;, 则 
an = 1001001100101100, ， ar = 0000001011010010; 
例如 ,a 二 11001001100101100000001011010010;, 则 
a>>1= 1100100110010110000000101101001 
例如 , 设 oa saz,… sas :0452，… ,bs 都 是 整数 ,(ai as，… sas) 习 (D1,0,,…,01s) 意 味 
着 4b:=ai:(1<i<15)。 


382 祖冲之 密码 的 算法 结构 


算法 从 逻辑 上 分 为 上 中 下 3 层 , 如 图 3-25 所 示 。 上 层 是 16 级 线性 反馈 移 位 寄存 器 
(LFSR) ,中 层 是 比特 重组 (Bit Reconstruction,BR) ,下层 是 非 线性 函数 下。 
下 面 是 各 层 的 具体 解释 。 


1. 线性 反馈 移 位 寄存 器 
线性 反馈 移 位 寄存 器 (LFSR) 由 16 个 31 比特 寄存 器 单元 so ,si ,…,sis 组 成 ,每 个 单 
元 在 集合 








《1 23532232 一 二 
中 取 值 。 
线性 反馈 移 位 寄存 器 的 特征 多 项 式 是 有 限 域 GF(2” 一 1) 上 的 16 次 本 原 多 项 式 
p(x) 一 2 一 257z5 一 277z83 一 22zl 一 220z 一 (28 十 1) 
因此 ,其 输出 为 有 限 域 GF(23 一 1) 上 的 m 序列 ,具有 良好 的 随机 性 。 
线性 反馈 移 位 寄存 器 的 运行 模式 有 两 种 : 初始 化 模式 和 工作 模式 。 
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SisHSiaL bq Si nx SSsh 加 SaSon ~ R 
w O 
+ 十 一 | 十 上 一 Z 
4 
-| RAR 上 Rs 
(一 一 人 一 
Wi Wy 
<<<16 
| 
SI S:L, 
[一 一 EE Ar 
图 3-25 祖冲之 密码 算法 结构 图 
1) 初始 化 模式 


在 初始 化 模式 中 ,LFSR 接收 一 个 31 比特 字 wu,u 是 由 非 线 性 函数 下 的 32 比特 输出 
W 通过 舍弃 最 低位 比特 得 到 , 即 “一 友之 二 1。 计 算 过 程 如 下 
LFSRWithlInitialisation Mode(u) 


| 
(Cy v= =1)s 
(2) ss 一 (十 zx)mod(23 一 1); 
(3) 如 果 ss 一 0, 则 置 ve 一 22 一 1; 
(4) (siysz 3515 516) 一 (So SS14 515)。 
} 
2) 工作 模式 
在 工作 模式 下 ,LFSR 没有 输入 。 计 算 过 程 如 下 : 
LFSRWithWorkMode() 
{ 


(1) sa 一 2555 十 27ss 十 22so 十 22s 十 (1 十 28)so mod(23 一 1); 
(2) 如 果 ss 一 0, 则 置 se 一 22 一 1; 


(3) (siysz ,35153516) 一 (So sl 544 515)。 
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比较 两 种 模式 ,差别 在 于 初始 化 时 需要 引入 由 非 线 性 函数 下 输出 的 W 通过 舍弃 最 
低位 比特 得 到 ,而 工作 模式 不 需要 。 目 的 在 于 ,引入 非 线 性 函数 下 的 输出 ,使 线性 反馈 


移 位 寄存 器 的 状态 随机 化 。 
LFSR 的 作用 主要 是 为 中 层 的 比特 重组 (BR) 提 供 随机 性 良好 的 输入 驱动 。 
2 比特 重组 


比特 重组 从 LFSR 的 寄存 器 单元 中 抽取 128 比特 组 成 4 个 32 比特 字 Xo ,Xi ,Xs， 
Xs ,其 中 前 3 个 字 将 用 于 下 层 的 非 线 性 函数 下 ,第 4 个 字 参 与 密 钥 流 的 计算 。 
具体 计算 过 程 如 下 : 
BitReconstruction() 
{ 
(1) Xo= ss | |sur; 
(2) X=sni| |sns 
(3) Xs=s7 | |ssp; 
(4) Xs=s2r ||son。 
} 
注意 : 对 每 个 i(0 人 i 人 15),s; 的 比特 长 是 31, 所 以 sn 由 si 的 第 30 到 第 15 比特 位 构 
成 ,而 不 是 第 31 到 第 16 比特 位 . 


3. 非 线性 函数 F 
非 线 性 函数 焉 有 2 个 32 比特 长 的 存储 单元 R 和 R, ,其 输入 为 来 自 上 层 比 特 重组 的 
3 个 32 比特 字 Xe Xi 、X; ,输出 为 一 个 32 比特 字 W。 因 此 , 非 线性 函数 下 是 一 个 把 96 比 
特 压缩 为 32 比特 的 一 个 非 线性 压缩 函数 。 具 体 计算 过 程 如 下 : 
PAXos Ni 
{ 
(1) W=(X, OR) R,; 
(2) Wi=Ri Xi; 
(3) W,=R,.DX,; 
(4) Ri=S(Li Wir | [Wn)); 
(5) R=S(L; (War | |Win))。 
} 
其 中 S 是 32X32 的 S 盒 ,Li、L* 是 线性 变换 。S 盒 及 Li、L; 的 描述 如 下 : 
(1) S 盒 。32X32( 即 输入 长 和 输出 长 都 为 32 比特 ) 的 S 盒 S 由 4 个 并 置 的 8X8 的 
S 盒 构成 , 即 
= C00 
其 中 S, 二 So ,5S; 王 Si, 于 是 有 
S= (5S,,S1,So,S) 
Su 和 Si 的 定义 分 别 如 表 3-12 和 表 3-13 所 示 。 
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表 3-12 S 会 Su 

区 硬 医 汉 医治 区 到 医 到 区 汉 区 汉 医 司 医 避 攻 :到 区: 到 医 避 区 ,二 区 :到 医 > 
0|3E|172|15B|47 |cAlEoloo|3|od|pl|54|98|o9|1B9|6pD|cB 
1 |7B|1B|F9|32|AF|9D|6A|A5|B|2D|FC|I1D|o08|53|03|90 
2 |4D|4E|84|99|FE4|ICEID9|91|DD|IB|85|48 | 8B|29 |6E|AC 
3 IcDplci|lFs|1E|73|43|69|ce|B|BD|IFD| 3 |63|20 |D4 | 38 
4 |17 |17D|IB2|A7|ICF|IED|57|Cs5|F3|2C|IBB|I14|21|06 |55 |9B 
5 |E3|EF|5E|31|4F|7F|I5A|IA4|lIoD|82|51|4|5F|IBA|IS58 |1C 
6 |4A|16|D5|17|As8|92|24|1F|8C|FF|IDs|AE|I2E|I0 | DIAD 
7 |3B|4B|DA|46|EB|C9 |DE|I9A| SF|87|D|3A|80 |6F|2F|cs 
8 |BI|IB|37|F7|I0A|22|113|28|7Cc|lcc|3c| 8 cr lcs| 9 |56 
9 |07|BF|I7E|Fo|oB|2B|97|52|35|4|79 |61|As6l4c|l10 |FE 
Ai|BC|2|19%5|s8|8A| 了 Bo |As|lFB|lco|lls|94|F2|E |E5|E9|5D 
B|pDolpcli|s6 |64|lsc|lEc|s | 42|75|12|F5|74|9C|AA|23 
C |oE|86 |ABIBE|2A|02|E7|67|E|44|A2|6Cc|c| 9 | 9F | 
D|Fse|FA|3 |D2|50|68|9E|l62|71|15|3D|ID|40 C4|E2 | oF 
E|s8E|83|77|6B|2|o5g|3F|oc|so|EA|Y7o|B7 |Al|Es|Ao|65 
F |8D|27|1A|IDB|81|B|Ao|lF4|45|7A|19 |DF|IEE|7 |34|60 

表 3-13 S 盒 5， 

g | | | 十 于 二 | 训 | 二 | 访客 | 下 ,| 芝 
0 |55|cC2|63|71|3B|lcs|47|8 |9F|3C|IDA|I5B|29 AAIFD|I77 
1 |8Clcs|o4|loc|AG|l1A|l13|00 |E3|A8|1|72|40|F9 | Fs|42 
2 |44|26|68|9 |81|D9|45|3E|10|7 |ce|A7|lsB|39|43|El 
3 13A|B5|56|2A|lcCco|leD|B3|o05|22|6 |BF|IDC|IoB|IFA|62 |48 
4 IDD|20|111|0|3 |c|lci|lce|Fe|27|52|BB|6 |Fs|D4| 87 
5 |7F|84|4CcC|D2|9oc|57|A4|IBC|4F |9A|IDF|IFE|D|8D|7A|IEB 
6 |2B|53|D8|5cC|IAI1M4|I17|FB|23|D5|7D|30|67|73|08 |o9 
7 |EE|B?7|70|3F|61|B|19|8E|4E|E5|4B| 93|8F|5D|DB|AY 
8 |AD|F1|AE|2E|CB|IoD|FC|F4|2D|46 |6E|JD|97 | Es8 |DI|E 
9 |4D|37|A5|75|5E|83|9E|IAB|I82 |9D|B9 iclE |cD| 4 | 89 
A|ol|Be|lBD|s5s|24|A2|5F|38|7|99|15|90|50|B|95 |E4 
B |po|lsl|lcrlcEejEpD|oF|B |6F|AolcclEFo|loz|4A|79|1cs|DE 
C |As|EF|EA|51|E|6B|18|ECl1IB|2z2clso|EF7|74|1E7|FF|21 
D |5A|6A|l54|I1E|4|31|92|35|c|33|07|0AIBA|I7E|oE|34 
E|8g8|BI|s%8|7cljF3|3sD|6oj6c|j7B|caAlpsliIF|a3s2|65|ot|28 
F|64|BE|85|s%B|2F|59|sgA|pr| 了 Bl|ls2|lAclaAF|121|o3|E2|F2 
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设 + 是 So( 或 S1) 的 8 比特 长 输入 ,将 xz 写成 两 个 十 六 进 制 数 z= 二 hh , 那 么 So( 或 
Si) 的 输出 是 表 3-12( 或 表 3-13) 第 hh 行 和 第 4 列 交叉 位 置 的 十 六 进 制 数 。 
例如 ,So (0x12) 二 0xF9,Si (0x34) 二 0xC0。 
设 S 的 输入 、 输 出 分 别 为 X(32 比特 长 ) 和 YY(32 比特 长 ) ,将 XX 和 YY 分 别 表示 成 4 个 
字 节 X 一 zo | El | 2 | Ta 一 yo | Ja | 3 | :那么 yi; 二 Si(zi),(i 二 0,1,2,3)。 
例如 , 设 X 一 0x12345678, 则 
Y= SCX) = So(0x12)S1(0x34)S, (0x56)S, (0x78) = 0xF9CO05A4E 
(2) 线性 变换 Li 和 LL: 。Li 和 L; 为 32 比特 线性 变换 ,定义 如 下 : 
Li(X) = XX<<<2) OX<<<10) xX<<<18 XxX<<<24) 
(new = XX<<<8) OX<<<14 0X<<<2) 9X<<< 30) 
(3-4) 
其 中 符号 a 二 二 二 n 表示 把 a 循环 左 移 位 。 
与 式 (3-2) 相 比 可 知 , 式 (3-4) 中 的 Li(X) 与 SM4 密码 中 的 线性 变换 L(B) 相 同 。 
在 非 线 性 函数 下 中 采用 非 线 性 变换 S 盒 的 目的 是 提供 混淆 作用 ,采用 线性 变换 工 的 
目的 是 提供 扩散 作用 。 正 是 混淆 和 扩散 相互 配合 提高 了 密码 的 安全 性 。 
非 线 性 函数 下 输出 的 W 与 比特 重组 (BR) 输 出 的 X; 异 或 ,形成 输出 密 钥 序列 Z。 
算法 结构 如 图 3-25 所 示 。 


4. 密 钥 装 载 
密 钥 装载 过 程 将 128 比特 的 初始 密 钥 上 和 128 比特 的 初始 向 量 IV 扩展 为 16 个 
31 比特 长 的 整数 ,作为 LFSR 寄存 器 单元 ys ,sas 的 初始 状态 。 
设 上 和 IIV 分 别 为 
k=ko ||k || -|| As 
和 
IV= iv || iv || ee | | ivs 
其 中 , 和 iv; 均 为 8 比特 长 字 节 ,0 二 i 二 15。 密 钥 装 入 过 程 如 下 : 
(1) 设 DD 为 240 比特 的 常量 ,可 按 如 下 方式 分 成 16 个 15 比特 的 子 串 : 
D= do ll dl ll ds 
其 中 di 的 二 进 制 表示 为 : 
do = 100010011010111; 
di = 010011010111100; 
cs = 110001001101011; 
ds = 001001101011110; 
ds = 101011110001001。 
ds = 011010111100010; 
ds = 111000100110101; 
di = 000100110101111; 
ds = 100110101111000。 
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ds, = 010111100010011， 
cn = 110101111000100。 
du = 001101011110001; 
ci = 101111000100110。 
= 011110001001101， 
= 111100010011010; 

dis = 100011110101100; 
(2) 对 0 委 i 委 15, 取 s;=k;|1ad;| |iv; 


383 祖冲之 密码 的 运行 
算法 的 运行 有 两 个 阶段 : 初始 化 阶段 和 工作 阶段 。 


1. 初始 化 阶段 

调用 密 钥 装载 过 程 , 将 128 比特 的 初始 密 钥 上 和 128 比特 的 初始 向 量 IV 装 人 到 
LFSR 的 寄存 器 单元 变量 so,s1,… ,sis 中 ,作为 LFSR 的 初 态 ,并 和 园 非 线性 函数 下 中 的 
32 比特 存储 单元 R 和 R。 全 为 0。 

然后 重复 执行 以 下 过 程 32 次 : 

(1) BitReconstruction(); 

(2) W=F(Xo, Xi1,X,); 

(3) LFSRWithlInitialisation Mode(u) 。 


2 工作 阶段 

初始 化 阶段 以 后 ,执行 工作 阶段 。 

首先 执行 以 下 过 程 一 次 ,并 将 下 的 输出 W 丢弃 : 

(1) BitReconstruction() 

(2) F(Xo XI，Xz)3 

(3) LFSRWithWorkMode() 。 

然后 进入 密 钥 输出 阶段 ,其 中 每 进行 一 次 循环 ,执行 以 下 过 程 一 次 ,输出 一 个 32 比特 
的 密 钥 字 Z: 

(1) BitReconstruction(); 

(2) Z=F(Xo, Xi1, Xe)DXs; 

(3) LFSRWithWorkMode() 。 


384 基于 祖冲之 密码 的 机 密 性 算法 128-EEA3 


基于 祖冲之 密码 的 机 密 性 算法 主要 用 于 4G 移动 通信 中 移动 用 户 设备 UE 和 无 线 网 
络 控制 设备 RNC 之 间 的 无 线 链 路 上 通信 信 令 和 数据 的 加 解密 。 


1. 算 法 的 输入 与 输出 
算法 的 输入 参数 见 表 3-14 ,输出 参数 见 表 3-15。 
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表 3-14 ZUC 机 密 性 算法 输入 参数 表 
输入 参数 比特 长 度 备 注 
COUNT 32 计数 器 
BEARER 5 承载 层 标识 
DIRECTION 1 传输 方向 标识 
CK 128 机 密 性 密 钥 
LENGTH 32 明文 消息 的 比特 长 度 
M LENGTH 明文 消息 的 比特 流 
表 3-15 ZUC 机 密 性 算法 输出 参数 表 
输出 参数 比特 长 度 备 注 
和 LENGTH 输出 比特 流 
2 算法 工作 流程 
加 解密 算法 如 图 3-26 所 示 。 
COUNT BEARER COUNT BEARER 
LENGTH DIRECTION LENGTH | DIRECTION 
CK -| zuUc 全 -| 7 
密 钥 序列 字 密 钥 序列 字 
密 明文 密 文 
发 送 方 接收 方 
图 3-26 ”基于 祖冲之 密码 的 机 密 性 算法 128-EEA3 
1) 初始 化 
初始 化 是 指 根据 机 密 性 密 钥 CK 以 及 其 他 输入 参数 ( 见 表 3-14) 构 造 祖冲之 算法 的 
初始 密 钥 & 和 初始 向 量 IV。 
把 CK(128 比特 长 ) 和 (128 比特 长 ) 分 别 表示 为 16 个 字 节 : 
CK = CK[o] || CK[L1] || CK[L2] 11 … || CK[15]， 
k= kL0] || C1] || [C2] || -… || [15] 
公 
汪汪 
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k[i] = CK[i],i = 0,1,2,.…,15 
把 计数 器 COUNT(32 比特 长 ) 表 示 为 4 个 字 节 : 
COUNT=COUNTL0J||ICOUNT[1JI|COUNT[L2JIICOUNTL3]J 
把 IV(128 比特 长 ) 表 示 为 16 个 字 节 : 
IV=IVLOJIIIVL1J| IIV[L2J1|:…||IV[L15], 
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IV[o] = COUNT[o],IV[L1] = COUNTCI] 
IV[2] = COUNT[2],IV[3] = COUNT[3] 
IV[4] = BEARER || DIRECTION || 00。 
IV[5] = IV[6] = IV[7] = 00000000;, 
IVL8] = IVLo],IV[9] = IV[L1] 
IV[10] = IV[2],IV[L11] = IV[3] 
IV[L12] =:IVL41;IVLI3] = IVL5J 
IV[14] = IV[6],IV[15] = IV[7] 
2) 密 钥 流 的 产生 
设 消 息 长 为 LENGTH 比特 ,由 初始 化 算法 得 到 的 初始 密 钥 & 和 初始 向 量 IV ,调用 
ZUC 密码 产生 工 个 字 ( 每 个 32 比特 长 ) 的 密 钥 ,其 中 工 为 
L =|[ LENGTH/32 | 
将 生成 的 密 钥 流 用 比特 串 表示 为 z[0],x[1],…,z[32XL 一 1], 其 中 =[0] 为 ZUC 算 
法 生成 的 第 一 个 密 钥 字 的 最 高 位 比特 ,x[31] 为 最 低位 比特 ,其 他 以 此 类 推 。 
3) 加 解密 
密 钥 流产 生 之 后 ,数据 的 加 解密 就 十 分 简单 了 。 
设 长 度 为 LENGTH 的 输入 消息 的 比特 流 为 


M= MLo] || MLI] || ML2] 1|1… || MLLENGTH—1] 
则 输出 的 密 文 比特 流 为 
C=C[o]1lcLI] || CL2] 11… || CLLENGTH—1] 
其 中 ,C[i]=M[i]@z[i],i=0,1,2,…,LENGTH 一 1。 
习 题 


1. (1) 设 M' 是 M 的 逐 比 特 取 补 , 证 明 在 DES 中 ,如 果 对 明文 分 组 和 加 密 密 钥 都 逐 

比特 取 补 ,那么 得 到 的 密 文 也 是 原 密 文 的 逐 比 特 取 补 , 即 
如 果 Y = DESk(CX) 
那么 Y = DESk (X’) 

提示 : 对 任意 两 个 长 度 相 等 的 比特 串 A 和 B, 证 明 (AB)'=A'’B。 

(2) 对 DES 进行 穷 搜 索 攻击 时 ,需要 在 由 2” 个 密 钥 构成 的 密 钥 空 间 进 行 。 能 否 根 
据 (1) 的 结论 减 小 进行 穷 搜索 攻击 时 所 用 的 密 钥 空间 。 

2. 证 明 DES 的 解密 变换 是 加 密 变 换 的 逆 。 

3. 在 DES 的 ECB 模式 中 ,如 果 在 密 文 分 组 中 有 一 个 错误 ,解密 后 仅 相 应 的 明文 分 组 
受到 影响 。 然 而 在 CBC 模式 中 ,将 有 错误 传播 。 例 如 ,在 图 3-11 中 ,Ci 中 的 一 个 错误 明 
显 地 将 影响 P, 和 P, 的 结果 。 

(1) P; 后 的 分 组 是 否 受 到 影响 ? 

(2) 设 加 密 前 的 明文 分 组 P 中 有 一 个 比特 的 错误 , 问 这 一 错误 将 在 多 少 个 密 文 分 组 
中 传播 ?对 接收 者 产生 什么 影响 ? 
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4. 在 8 比特 CFB 模式 中 ,如 果 在 密 文字 符 中 出 现 1 比特 的 错误 , 问 该 错误 能 传播 
多 远 ? 

5. 在 实现 IDEA 时 ,最 困难 的 部 分 是 模 25 十 1 乘法 运算 。 以 下 关系 给 出 了 实现 模 乘 
法 的 一 种 有 效 方法 ,其 中 a 和 6 是 两 个 n 比特 的 非 0 整数 : 
(ap mod 2") 一 (ab div 2") ， (ab mod 2") 三 (ab div 2") 
(ab mod 2") 一 (ab div 2") 十 2 十 1， (ab mod 2") < (ab div 2") 

注意 : (ab mod 2") 相 应 于 ab 的 个 最 低 有 效 位 ,(ab div 2") 是 ap 布 移 n 位 。 

(1) 证 明 存在 唯一 的 非 负 整数 g 和 ,使 得 ab 二 gq(2" 十 1) 十 rr。 

(2) 求 g 和 vr 的 上 下 界 。 

(3) 证 明 g 十 +r 过 2"+!。 

(4) 求 (ab div 2") 关 于 gq 的 表达 式 。 

(5) 求 (ab mod 2") 关 于 g 和 的 表达 式 。 

(6) 用 (4) 和 (5) 的 结果 求 ”~ 的 表达 式 , 说 明 的 含义 。 

6. (1) 在 IDEA 的 模 乘 运算 中 ,为 什么 将 模 数 取 为 25 十 1 而 不 是 2”。 

(2) 在 IDEA 的 模 加 运算 中 ,为 什么 将 模 数 取 为 2* 而 不 是 2* 十 1。 

7. 证 明 SM4 算法 满足 对 合 性 , 即 解密 过 程 和 加 密 过 程 一 样 ,只 是 密 钥 的 使 用 顺序 
相反 。 


吉平 访 三 | 
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第 耳鼻 
公 钥 密码 


本 章 首 先 介绍 密码 学 中 常用 的 一 些 数学 知识 ,然后 介绍 公 钥 密码 体制 的 基本 概念 和 
几 种 重要 算法 。 


4.1 密码 学 中 一 些 常用 的 数学 知识 





411 群 \ 环 \ 域 


群 \ 环 、 域 都 是 代数 系统 (也 称 代数 结构 ) ,代数 系统 是 对 要 研究 的 现象 或 过 程 建立 起 
的 一 种 数学 模型 ,模型 中 包括 要 处 理 的 数学 对 象 的 集合 以 及 集合 上 的 关系 或 运算 ,运算 可 
以 是 一 元 的 也 可 以 是 多 元 的 ,可 以 有 一 个 也 可 以 有 多 个 。 

设 * 是 集合 S$ 上 的 运算 ,车 对 Wa,5E S, 有 ax*6bE S, 则 称 S 对 运算 * 是 封闭 的 。 若 
* 是 一 元 运算 ,对 wES, 有 *wES, 则 称 S 对 运算 * 是 封闭 的 。 

车 对 Ya,b,cES, 有 (ax6)*c==a x (bxc), 则 称 * 满足 结合 律 。 

定义 4-1 设 (G,* 是 一 个 代数 系统 , * 满足 : 

(1) 封闭 性 。 

(2) 结合 律 。 
则 称 (G, * ) 是 半 群 。 

定义 4-2 设 (G,* ) 是 一 个 代数 系统 , * 满足: 

(1) 封闭 性 。 

(2) 结合 律 。 

(3) 存在 元 素 e, 对 Ya€EG, 有 ax*e=e x a 二 a;e 称 为 (G, * ) 的 单位 元 。 

(4) 对 Ya€E G, 存 在 元 素 a '! ,使 得 a xa 一 ao ! x* a 二 e; 称 a! 为 元 素 a 的 道 元 。 
则 称 (G, * ) 是 群 。 若 其 中 的 运算 * 已 明确 .有 时 将 (G, * ) 简 记 为 G。 

如 果 G 是 有 限 集合 , 则 称 (G, * ) 是 有 限 群 ,否则 是 无 限 群 。 有 限 群 中 ,G 的 元 素 个 数 
称 为 群 的 阶 数 。 

如 果 群 (G, * ) 中 的 运算 * 还 满足 交换 律 , 即 对 Ya,5EG, 有 ax6b 一 bxa, 则 称 (G, *》 
为 交换 群 或 Abel 群 。 

群 中 运算 * 一 般 称 为 乘法 , 称 该 群 为 乘法 群 。 若 运算 * 改 为 十 , 则 称 为 加 法 群 ,此 时 
逆 元 a ! 写 成 一 a。 

【 例 4-1】 (1) (I, 十 ) 是 Abel 群 .其 中 工 是 整数 集合 。 

(2) (Q,，) 是 Abel 群 ,其 中 Q 是 有 理 数 集合 。 
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(3) 设 A 是 任 一 集合 ,P 表示 A 上 的 双 射 函数 集合 ,AP,*) 是 群 ,这 里 "表示 函数 的 合 
成 ,通常 这 个 群 不 是 Abel 群 。 

(4) 〈Z, ,十 ,) 是 Abel 群 ,其 中 纪 , 二 {0,1,…,n 一 1) ,十 , 是 模 加 ,a 十 ,b 等 于 (a 十 b)mod n， 
Z 1 二 n 一 +。(Z，X,) 不 是 群 , 因 为 0 没有 逆 元 ,这 里 XxX。 是 模 乘 ,aX,b 等 于 (aXb)mod n。 

定义 4-3 设 (G,* ) 是 一 个 群 ,I 是 整数 集合 。 如 果 存 在 一 个 元 素 g€ G, 对 于 每 一 个 
元 素 cEG ,都 有 一 个 相应 的 i ET, 能 把 a 表示 成 g', 则 称 (G , x ) 是 循环 群 ,g 称 为 循环 
群 的 生成 元 , 记 G ==(g)= 二 {g'1i€E1T)。 称 满足 方程 a” 二 e 的 最 小 正 整数 mm 为 a 的 阶 , 记 为 
|a| 。 

密码 学 中 使 用 的 群 大 多 为 循环 群 ,循环 群 的 性 质 在 4.1.11 节 和 4. 1. 12 节 专 门 介 绍 。 

定义 4-4 若 代 数 系统 (及 ,十 ,。) 的 二 元 运算 十 和 “。 满足 ， 

(1) (RR, 十 ) 是 Abel 群 ; 

(2) 〈R,。) 是 半 群 ; 

(3) 乘法 。 在 加 法 十 上 可 分 配 , 即 对 Ya,b,cER, 有 

aa。(0 十 c) 一 wa。0 十 ac 和 (十 c) .一 5。 十 ca 
则 称 (R ,十 ,。) 是 环 。 

【 例 4-2〗 (1) (T, 十 ,。) 是 环 , 因 为 (T, 十 ) 是 Abel 群 ,(T,。) 是 半 群 ,乘法 。 在 加 
法 十 上 可 分 配 。 

(2) 〈Z, ,十 ,, X,) 是 环 , 因 为 (Z,., 十 ,是 Abel 群 , (2Z,,X,) 是 半 群 , X, 对 十 , 可 
分 配 。 

(3) (M, ,十 ,，) 是 环 ,这 里 M, 是 1 上 nXn 方 阵 集 合 ,十 是 矩阵 加 法 ,， 是 矩阵 乘法 。 

(4)《R(z) ,十 ,，) 是 环 ,这 里 R(z) 是 所 有 实 系数 的 多 项 式 集合 ,十 和 。… 分 别 是 多 项 
式 加 法 和 乘法 。 

定义 4-5 若 代 数 系 统 (F ,十 ,。) 的 二 元 运算 十 和 “。 满足 ， 

(1) (F, 十 ) 是 Abel 群 ; 

(2) (F 一 {0},，) 是 Abel 群 ,其 中 0 是 十 的 单位 元 ; 

(3) 乘法 ， 在 加 法 十 上 可 分 配 , 即 对 Va,b,cEF ,有 

a。 (b+o)=ab+tarc 和 (bce) a=b*atc*a 
则 称 (F, 十 ,。) 是 域 。 

《Q, 十 ,，)、《R, 十 ,。)、《C, 十 ,。) 都 是 域 ,其 中 Q、R、C 分 别 是 有 理 数 集合 、 实 数 集 
合 和 复数 集合 。 

有 限 域 是 指 域 中 元 素 个 数 有 限 的 域 ,元 素 个 数 称 为 域 的 阶 。 若 gq 是 素数 的 索 , 即 
gq 三 p” ,其 中 pp 是 素数 ,r 是 自然 数 , 则 阶 为 g 的 域 称 为 Galois 域 , 记 为 GF(g) 或 F ,。 

已 知 所 有 实 系数 的 多 项 式 集合 R(x) 在 多 项 式 加 法 和 乘法 运算 下 构成 环 。 类似 地 ， 
任意 域 上 的 多 项 式 ( 即 系数 取 自 F ) 集 合 F(x) 在 多 项 式 的 加 法 和 乘法 运算 下 也 构 
成 环 。 

F(z) 中 不 可 约 多 项 式 的 概念 与 整数 中 的 素数 概念 类 似 ,是 指 在 F 上 仅 能 被 非 0 常数 
或 自身 的 常数 倍 除 尽 ,但 不 能 被 其 他 多 项 式 除 尽 的 多 项 式 。 
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两 个 多 项 式 的 最 高 公 因 式 为 1 时 , 称 它们 互 素 。 

多 项 式 的 系数 取 自 以 素数 p 为 模 的 域 时 ,这 样 的 多 项 式 集合 记 为 F,[z]。 若 m(x) 
是 F,[zj 上 的 次 不 可 约 多 项 式 ,F,[z] 上 多 项 式 加 法 和 乘法 改 为 以 m(x) 为 模 的 加 法 和 
乘法 ,此 时 的 多 项 式 集合 记 为 F,[z]/m(zx) ,集合 中 元 素 个 数 为 p",F,[xj/m(z) 是 一 个 
有 限 域 GF(p”)。 


412 素数 和 互 素 数 


1. 因子 

设 c,0(0 天 0) 是 两 个 整数 ,如 果 存 在 另 一 个 整数 m, 使 得 a 二 mb, 则 称 5 整除 a, 记 为 
bla, 且 称 5 蚌 a 的 因子 ;否则 称 6 不 整除 a, 记 为 5 a。 

整数 具有 以 下 性 质 : 

(1) al1, 那 么 a= 土 1; 

(2) alb 且 bla,; 则 a= 土 b; 

(3) 对 任 一 5(5 隆 0) ,510; 

(4) blg,blh, 则 对 任意 整数 mn 有 65|Gmg 十 nh)。 

这 里 只 给 出 (4) 的 证 明 , 其 他 3 个 性 质 的 证 明 都 很 简单 。 

证 (4): 由 blg,blh 知 ,存在 整数 gi 、h ,使 得 

g=bg1, h= bh 

所 以 











mgt+nh=mbgi tnbhi=b(mgi tnh) 
因此 ,6b| Gmg 十 nh)。 


2 素数 
称 整 数 AP(p 二 1) 是 素数 ,如 果 p 的 因子 只 有 士 1 和 土 p。 
若 p 不 是 素数 , 则 称 为 合 数 。 
任 一 整数 a(a 二 1) 都 能 唯一 地 分 解 为 以 下 形式 : 
a = ph pep 
其 中 ,pi 二 ps 三 … 二 p, 是 素数 ,a; 记 0(i 二 1,…,t)。 例 如 
We = 
这 一 性 质 称 为 整数 分 解 的 唯一 性 ,也 可 如 下 陈述 : 
设 已 是 所 有 素数 集合 , 则 任意 整数 <(e>1) 都 能 唯一 地 写成 以 下 形式 ， 
“= [| 
其 中 wo 二 0。 
等 号 右边 的 乘积 项 取 所 有 的 素数 ,然而 大 多 指数 项 a 为 0。 
相应 地 , 任 一 正 整数 也 可 由 非 0 指数 列表 表示 。 如 : 11011 可 表示 为 {ar 二 1,au 一 2， 
ai 一 1)。 
两 数 相 乘 等 价 于 对 应 的 指数 相 加 , 即 ,由 ==mn 可 得 : 对 每 一 素数 p ,ks 二 my 十 np。 
而 由 alb 可 得 : 对 每 一 素数 p.as 三 5b,。 这 是 因为 p* 只 能 被 pi(j 二 k) 整 除 。 
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3. 互 素 数 

称 c 是 两 个 整数 2 的 最 大 公 因 子 , 如 果 

(1) c 是 a 的 因子 也 是 2 的 因子 , 即 c 是 a wb 的 公 因 子 。 

(2) a 和 2 的 任 一 公 因子 .也 是 c 的 因子 。 
表示 为 c 王 gcd(a ,0) 。 

由 于 要 求 最 大 公 因子 为 正 , 所 以 gcd(a,b) 二 gcd(a, 一 上) 二 gcd( 一 a,b) 二 gcd( 一 a, 一 b)。 
一 般 gcd(a;b) 二 gcd(lal,151)。 由 任 一 非 0 整数 能 整除 0, 可 得 gcd(a,0) 一 a。 如果 将 
awb 都 表示 为 素数 的 乘积 , 则 gcd(a,5) 极 易 确 定 。 

【 例 4-3】 














0 二 
18=2!X3 
(18,300) = 2!: X31X5°=6 
一 般 由 c= 二 gcd(a,5) 可 得 : 对 每 一 素数 p,cs 二 min(a, ,b,)。 
如 果 gcd(a,65) 二 1, 则 称 a 和 2 互 素 。 
称 d 是 两 个 整数 a wb。 的 最 小 公 倍 数 ,如 果 
(1) d 是 a 的 倍数 也 是 5 的 倍数 , 即 d 是 a wb 的 公 倍 数 ; 
(2) a 和 6 的 任 一 公 倍数 ,也 是 d 的 倍数 。 
表示 为 c==lcem(a,b)。 
车 a.b 是 两 个 互 素 的 正 整 数 , 则 lcm(a,0) 一 cp。 


413 模 运算 
设 交 是 一 个 正 整 数 ,a 是 整数 ,如 果 用 n 除 a ,得 商 为 gq, 余 数 为 7, 则 


Q& 一 q2 十 r，0 生 rr 一 1， IE 


n 
其 中 [x 擅 小 于 或 等 于 zx 的 最 大 整数 。 
用 a mod 表示 余数 7, 则 a=|# |nta mod n。 


如 果 (a mod nn) 二 (5 mod n), 则 称 两 整数 a 和 2 模 n 同 余 , 记 为 a 三 b mod n。 称 与 a 
模 n 同 余 的 数 的 全 体 为 a 的 同 余 类 , 记 为 [aj, 称 a 为 这 个 同 余 类 的 表示 元 素 。 

注意 : 如 果 a 三 0(mod nn), 则 nla。 

同 余 有 以 下 性 质 : 

(1) nl (ae 一 0 与 a 三 b mod n 等 价 。 

(2) (a mod n)= (6 mod n), 则 a 三 6b mod n。 

(3) a6b mod n, 则 5 二 a mod n。 

(4) a6b mod n,b=c mod n, 则 a 三 c mod n。 

(5) 如 果 a 圭 b mod n,d |n, 则 a 三 6b mod d。 

(6) 如 果 a 寺 6 mod ni(i 二 1,…,k),d 二 lcm …… ,14), 则 a 寺 b5 mod d。 

证 明 (5) 由 a 寺 65 modn 及 d |n, 得 nl(a 一 6b),d|(a 一 6b)。 
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(6) 由 4 三 5 mod ni 得 ,ni| (a 一 ), 即 a 一 b 是 nn,…,n 的 公 售 数 ,所 以 dl (a 一 5)。 

从 以 上 性 质 易 知 , 同 余 类 中 的 每 一 元 素 都 可 作为 这 个 同 余 类 的 表示 元 素 。 

求 余数 运算 (简称 求 余 运算 )a mod n 将 整数 a 映射 到 集合 {0,1,…,n 一 1) , 称 求 余 运 
算 在 这 个 集合 上 的 算术 运算 为 模 运 算 , 模 运算 有 以 下 性 质 : 

(1) [Ca mod n)+(b mod n) mod n= (a+tb)mod n。 

(2) [Ca mod n)—(b mod n)Jmod n=(a—b)mod n。 

(3) [Ca mod n)X(b mod n)Jmod n=(aXb)modn。 

证 (1); 设 (a mod n)= 二 rs,(b mod n) 二 rs,, 则 存在 整数 j、k 使 得 a 二 jn 十 r, ,6 二 kn 





rss 
因此 
(a+b)modn= [G+hRntr, tr modn= (r,tr) modn 
=[(amodn)+(b modn)]Jmodn 
(2) (3) 的 证 明 类 似 。 
【 例 4-4】 设 Zs 二 (0,1,…,7) ,考虑 Zs 上 的 模 加 法 和 模 乘 法 ,结果 如 表 4-1 所 示 。 
表 4-1 模 8 运算 
十 0 i 2 3 4 5 6 x 0 1 2 3 4 5 6 7 
0 0 1 2 3 4 5 6 7 0 0 0 0 0 0 0 0 0 
1 1 2 六 4 5 6 7 0 1 0 1 2 3 4 5 6 be 
2 2 3 4 5 6 人 0 1 2 0 2 4 6 0 2 4 6 
3 3 4 5 6 0 2 3 0 3 6 和 4 2 5 
4 4 5 6 7 0 1 2 3 4 0 4 0 4 0 4 0 4 
5 5 6 0 2 -| 4 5 0 5 2 7 4 1 6 3 
6 6 学 0 1 2 3 4 6 0 6 4 2 0 6 4 2 
7 7 0 和 2 3 4 5 6 人 0 ? 6 5 4 3 2 1 














从 加 法 结果 可 见 , 对 每 一 zx, 都 有 一 y, 使 得 zx 十 y 三 0 mod 8。 如 对 2, 有 6, 使 得 2 十 6 圭 0 
mod 8, 称 y 为 x 的 负数 ,也 称 为 加 法 逆 元 。 
对 工 , 若 有 yy, 使 得 xXy 三 1 mod 8, 如 3X3 三 1 mod 8, 则 称 y 为 zx 的 倒数 ,也 称 为 乘 
法 逆 元 。 本 例 可 见 并 非 每 一 zx 都 有 乘法 逆 元 。 
一 般 , 定 义 Z, 为 小 于 n 的 所 有 非 负 整 数 集合 , 即 : 
= {0,1,°… ,nO—1} 
称 Z, 为 模 n 的 同 余 类 集合 。 其 上 的 模 运算 有 以 下 性 质 : 
(1) 交换 律 
(wz)modn= (ri+w)modn 
(wX7r)modn= (rzXw)modn 
(2) 结合 和 
[Cw+t+z)+yjmodn= [wt (ri+y) modn 
[(wXz)Xyjmodn= [wxX (rxXy)Jmodn 
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(3) 分 配 律 
[wx (z+i+y) modn=[C(wXxzr)++ (wxXy) modn 
(4) 单位 元 
(0+w)modn= wmodn 
(1Xw)modn= wmodn 

(5) 加 法 逆 元 。 对 wEZ, ,存在 zEZ, ,使 得 w 十 z 寺 0 mod n, 记 z= 一 w。 
此 外 还 有 以 下 性 质 : 

如 果 (a 十 0 二 (< 十 c)mod n, 则 5 二 c mod n, 称 为 加 法 的 可 约 律 。 

该 性 质 可 由 (a 十 ) 志 (a 十 c)mod 2 的 两 边 同 加 上 a 的 加 法 逆 元 得 到 。 

然而 类 似 性 质 对 乘法 却 不 一 定 成 立 。 例 如 ,6X3 寺 6X7 寺 2 mod 8, 但 3 半 7 mod 8。 
原因 是 6 乘 0 到 7 得 到 的 8 个 数 仅 为 Z; 的 一 部 分 ,看 上 例 。 如 果 将 对 Zs 作 6 的 乘法 6 X Z。 
( 即 用 6 乘 Z, 中 每 一 数 ) 看 作 Zs 到 Zs 的 映射 的 话 ,Zs 中 至 少 有 两 个 数 映 射 到 同一 数 ,因此 该 
映射 为 多 到 一 的 ,所 以 对 6 来 说 ,没有 唯一 的 乘法 逆 元 。 但 对 5 来 说 ,5X 5 三 1 mod 8, 因 
此 5 有 乘法 逆 元 5。 仔细 观察 可 见 , 与 8 互 素 的 几 个 数 1、3、5、7 都 有 乘法 逆 元 。 

记 Z; ={a|0<a<n,gcd(a,n)=1}。 

定理 4-1 Z; 中 每 一 元 素 都 有 乘法 逆 元 。 

证 明 ”首先 证 明 Z; 中 任 一 元 素 4 与 Z; 中 任意 两 个 不 同 元 素 b、c( 不 妨 设 c<5) 相 乘 ， 
其 结果 必然 不 同 。 否 则 设 aXb 三 a Xc mod n, 则 存在 两 个 整数 ki 、ks ,使 得 a6 二 kn 十 7， 
Qc 二 hon 十 ,可 得 a(6 一 0) 二 (一 Re)n, 所 以 a 是 (i 一)n 的 一 个 因子 。 又 由 gcdCa,7) 一 1， 
得 a 是 一 ks 的 一 个 因子 , 设 包 一 ko = 二 kha, 所 以 a(b 一 c)==kan, 即 6 一 c= ksn， 
与 0<c<b<n 矛 盾 。 所 以 laX2Z» | 二 |2» |。 

对 aXZ;* 中 任 一 元 素 ac, 由 gcd(a,n)= 二 1,gcd(c,n) 二 1, 得 gcd(ac,n)= 二 1,ac€EZ;*， 
所 以 aXZ; 竺 2Z; 。 

由 以 上 两 条 得 a XZ; = 二 Z;* 。 因 此 对 1€2Z; ,存在 zxEZ; ,使 得 a Xz 三 1 mod nn， 
即 工 是 a 的 乘法 逆 元 。 记 为 z=a 7。 











(定理 4-1 证 毕 ) 
证 明 中 用 到 如 下 结论 : 设 A、B 是 两 个 集合 ,满足 ASB 上 是 |A|=|1B|, 则 A=B。 
设 p 为 一 素数 , 则 Z, 中 每 一 非 0 元 素 都 与 户 互 素 , 因 此 有 乘法 逆 元 。 类 似 于 加 法 可 
约 律 ,可 有 以 下 乘法 可 约 律 : 
如 果 (aXb) 夺 (aXc)modn 上 且 wx 有 乘法 道 元 ,那么 对 (a Xb) 夺 (aXc)modn 两 边 同 乘 
以 a 7!, 即 得 56 圭 c mod n。 


414 模 指 数 运算 


模 指数 运算 是 指 对 给 定 的 正 整数 芭 ,n, 计 算 a” mod n。 
【 例 4-5】 a 二 7,n 二 19, 则 易 求 出 7! 寺 7 mod 19,7? 寺 11 mod 19,7; 寺 1] mod 19。 
由 于 7 二 7;。7i 寺 7i mod 19, 所 以 7: 三 7 mod 19,7; 圭 7? mod 19,…, 即 从 74 mod 
19 开始 所 求 的 宕 出 现 循环 ,循环 周期 为 3。 
可 见 ,在 模 指 数 运算 中 , 若 能 找 出 循环 周期 , 则 会 使 得 计算 简单 。 
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称 满足 方程 a" 圭 1 mod n 的 最 小 正 整 数 m 为 模 n 下 a 的 阶 , 记 为 ord, (a)。 
定理 4-2 设 ord,(a) 二 m, 则 a* 寺 1 mod n 的 充 要 条 件 是 k 为 m 的 倍数 。 
证 明 设 存 在 整数 g, 使 得 & 二 qm, 则 a* 圭 (a”")* 寺 1 mod n。 反 之 ,假定 a* 寺 1 modn， 
令 k=gm 十 r 其 中 0 二 r 志 m 一 1, 那 么 
a = (a")a’ 二 a’ = 1(modn) 
与 m 是 阶 矛 盾 。 
(定理 4-2 证 毕 ) 


415 费 尔 马 定理 、 欧 拉 定 理 、 卡 米 软 尔 定理 
这 3 个 定理 在 公 钥 密码 体制 中 起 着 重要 作用 。 


1. 费 尔 马 (Fermal) 定 理 
定理 4-3( 费 尔 马 定理 ) 若 p 是 素数 ,a 是 正 整 数 且 gcd(a,z) 王 1, 则 wo :三 
1 mod p。 
证 明 在 定理 4-1 的 证 明 中 知 , 当 gcd(a,p) 二 1 时 ,aXZ, 二 Z,, 其 中 aX2Z, 表 示 
a 与 Z, 中 每 一 元 素 做 模 p 乘法 。 又 知 aX0 三 0 mod p, 所 以 aX2Z, 一 {0}==2Z, 一 {0})， 
aX(2Z,—{0})=z, 一 {0}。 即 
{a mod p,2a mod p,"*…,(p—1)a mod p} = {1,2,…,p—1} 


分 别 将 两 个 集合 中 的 元 素 连 乘 ,得 : 
axXx2aX(p—1)a=[(a mod p) Xx (2a mod p) XX((p—1l)amodp)jmodp 
三 (p—1)!modp 
另 一 方面 ， 


aX2aX*(p—1)a= (p—1)lar! 
因此 
(p= Dlam = (p= DImodyp 
由 于 (z 一 1)! 与 之 互 素 , 因 此 (一 1)! 有 乘法 逆 元 ,由 乘法 可 约 律 得 a’ ! 寺 1 mod p。 
(定理 4-3 证 毕 ) 
费 尔 马 定理 也 可 写成 如 下 形式 : 设 p 是 素数 ,a 是 任 一 正 整数 , 则 a? 寺 a mod p。 


2 欧 拉 函数 

设 n 是 一 正 整 数 ,小 于 nn 且 与 n 互 素 的 正 整数 的 个 数 称 为 n 的 欧 拉 函数 , 记 为 p(n)。 
【 例 4-6】 p(6) 一 2,p(7) 一 6.p(8) 一 4。 

定理 4-4 (1) 车 nn 是 素数 , 则 p(z) 一 2 一 1; 

(2) 若是 两 个 素数 p 和 g 的 乘积 , 则 p(n) 二 pg(p)Xg(g)==(p 一 1)X(g 一 1); 


(3) 车 nn 有 标准 分 解 式 n 二 ph pz… pr , 则 p09=a(1 一 去 )…(1- 8 | 


pi pe 
证 明 (1) 显然 ; 
(2) 考虑 ZZ, 一 10,1,…, pq 一 1}, 其 中 不 与 n 互 素 的 数 有 3 类: 即 A= 
{p,2p,*…,(g—1)p},B={g,2g,.…,(p—1)g},C={0}, 且 ANMB=@, 否 则 如 果 ip=jg， 
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其 中 1<i<g 一 1,1<j 二 p 一 1, 则 pp 是 jg 的 因子 ,因此 是 j 的 因子 , 设 j 二 kp,k 宇 1。 则 
ip 二 kpqsi 一 kq, 与 1 二 i<q 一 1 矛盾 。 所 以 
8(C0DO 一 | Z. | 一 [LIAI+IBI+CH= 加 一 [Co 一 1 十 (一 1 十] 
一 (p—1)Xx(g—1)= 9(p) Xx y(g) 

(3) 当 n==p* 时 ,1~n 之 间 与 n 不 互 素 的 数 有 1*p,2*p,…,p”，*p, 共 p”!' 个 ,所 
以 pp)=p"—p"!。 

当 n 二 ph pz…pr 时 ,由 (2) 得 ， 

pO0D= pph pipe) pp) = (ph — ph (pe — pr) (pr — pre!) 


-- 划 -( 革 


【 例 4-7】 wp(21) 一 pP(3X7) 一 p(3)Xp(7) 一 2X6 一 12 


(定理 4-4 证 毕 ) 











92(72) 一 p(2332) 72 人 1 yj 3) 24 

定理 4-5( 欧 拉 定 理 ) 车 a 和 互 素 , 则 a”" 二 1] mod n。 

证 明 设 R={zi ,zo，…,zow) 是 由 小 于 n 且 与 n 互 素 的 全 体 数 构成 的 集合 ,aXR= 
{faz mod nsazs mod ns,azgm mod n) ,考虑 aXR 中 任 一 元 素 azx; modn, 因 a 与 n 互 素 ,z 
与 n 互 素 , 所 以 azx; 与 nn 互 素 , 有 目 az mod n 二 n, 因 此 ax; mod nER, 所 以 aXRER。 

又 因 a XR 中 任意 两 个 元 素 都 不 相同 ,否则 az; mod n = azij mod n, 由 a 与 n 互 素 知 

Hn) 
a 在 mod n 下 有 乘法 道 元 , 得 zi 二 。 所 以 |aXR|=|R|, 得 axR=R, 所 以 [| (azx; 


iml 


公办 A on) PS) em) 
mod 2) = [Tz;; [Taz; 三 [zi(mod Nn) a” 。 [Tz; 三 TI zi(mod n),， 由 每 一 
i=1 i=1 i=1 i=1 i 一 1 
Fn) Ee) 
Zi 与 n 互 素 , 知 [[ zi 与 互 索 ,[[xi 在 mod 下 有 乘法 着 元 .所 以 arm 二 1 modn。 
i=1 i=1 
(定理 4-5 证 毕 ) 


推论 ord, (a) 19(n)。 
推论 说 明 ,ord, (a) 一 定 是 p(n) 的 因子 。 如 果 ord, (a) 二 p(n), 则 称 a 为 n 的 本 原 根 。 
如 果 a 是 n 的 本 原 根 , 则 


在 mod n 下 互 不 相同 且 都 与 n 互 素 。 
特别 地 ,如 果 a 是 素数 p 的 本 原 根 , 则 


在 mod p 下 都 不 相同 。 

【 例 4-8】 n= 二 9, 则 pg(n)= 二 6, 考 虑 2 在 mod 9 下 的 上 2! mod 9 圭 2,2? mod 9 圭 4， 
2 mod 9 寺 8,2+ mod 9 三 7 ,2 mod 9 三 5 ,2 mod 9 圭 1。 即 ords (2) 一 p(9) ,所 以 2 为 9 的 
本 原 根 。 
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【 例 4-9】 n 二 19,a 二 3 在 mod 19 下 的 每 分 别 为 
359，855515574276518516;10511514545125173 地 
即 ords(3) 王 18 一 p(19) ,所 以 3 为 19 的 本 原 根 。 
本 原 根 不 唯一 。 可 验证 除 3 外 ,19 的 本 原 根 还 有 2,10,13,14,15。 
注意 并 非 所 有 的 整数 都 有 本 原 根 , 只 有 以 下 形式 的 整数 才 有 本 原 根 : 
2,4,p°,2p" 





其 中 p 为 奇 素数 。 


4 卡 米 歇 尔 定理 

对 满足 gcd(a,n) 二 1 的 所 有 a, 使 得 a” 三 1 mod n 同时 成 立 的 最 小 正 整数 mm , 称 为 
的 卡 米 和 软 尔 (Carmichael) 函数 , 记 为 A(n)。 

【 例 4-10】 n= 二 8, 与 8 互 素 的 数 有 1.3,5,7, 即 9(8)=4。 

l=1lmod8, 3: 三 1] mod8,，5: 三 1] mod 8, 7 三 1] mod8 

所 以 (8) 一 2。 

从 该 例 看 出 ,Xn) 三 p(n)。 

定理 4-6 (1) 如 果 al5, 则 XCa)14(5); 

(2) 对 任意 互 素 的 正 整数 a.6, 有 ACab) 二 lem(4(a) ,AGO)); 


9(n)=1, 7 一 1 
p(Cz) 一 1， 7 一 2 
9(n) 一 2， n= 4 
A 到 CD) = 2 一 ， n=2,a>2 
gp(n) 一 力 一 1， n 二 p 奇 素数 
pm =p—p™, n 二 p*,p 奇 素数 ,a 二 1 


lemCQACph) ,Ape)), n= [ps 
i=]1 


证 明 (1) 对 满足 gcd(z,6)==1 的 所 有 zz,x* 四 二 1 mod 5, 由 alb 得 ,2 二 1 mod a。 
设 4(5)==kRA(a) 十 rr, 其 中 0 过 r<XCQ), 则 9 二 (9 )tr' 寺 x 二 1] mod ua, 所 以 > 一 0, 即 
ACa)1A(CO) 。 

(2) 由 (01) 得 ,XCa) aCab) ,MA(CO)1ACab), 即 Mab) 是 Me 和 AGO) 的 公 倍 数 。 又 设 d 是 
4(a) 和 4(5) 的 任 一 公 售 数 ,由 4X(a)1d,4(6)1d 得 x 二 1 mod a,x 寺 1] mod 5b, 其 中 gcdCza) 一 
1,gcd(x,) 二 1, 所 以 x? 寺 1 mod ab,; 其 中 gcd(zx,ab) 二 1,A(ab)1d。 所 以 A(ab) 是 4(a) 和 
4(5) 的 最 小 公 售 数 。 

(3) 可 由 (2) 得 到 。 

(定理 4-6 证 毕 ) 

定理 4-7( 卡 米 吹 尔 定理 ) 车 a 和 nn 互 素 , 则 a*" 夺 1] mod n。 

证 明 设 n=prh p82…ps ,下 面 证明 a*" 寺 1] mod p¥ (i=1,…,1)。 
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如 果 p$ 二 2,4 或 奇 素数 的 寡 , 由 定理 4-6(3) ,XCp$) 二 (Pp ) ,所 以 ax) 一 ar 二 
1 mod pr 。 又 因 ACp$)14(7) ,所 以 am =1 mod pp 。 

当 所 二 2% (a 这 2) 时 ,4(p8) 一 译 p(2%) 一 2%, 我 们 需要 证 明 oz 一 和 1 mod 2% ,对 
a; 用 归纳 法 。 当 a; 二 3 时 ,a? 二 1 mod 8 对 每 一 奇 整数 4a 成立。 设 a* “二 1 mod 2% 对 a 
成 立 , 即 a* “= 二 1 十 12% ,t 是 一 个 正 整 数 。 则 当 ai 十 1 时 ,az 二 (1 十 12%)? 二 1 十 t2%+1 
十 #2 气 圭 1 mod 2%11。 由 归纳 法 ,a*” “三 1 mod 2% 对 任意 a(a; 这 2) 成 立 。 

由 ”三 ] mod 让 (一 1 省 ,得 oo 三 1 mod d, 其 中 d==lem(ph pr) 二 ph pr 二 nn 
所 以 wm 三 1 mod n。 





(定理 4-7 证 毕 ) 
416 素性 检验 
素性 检验 是 指 对 给 定 的 数 检验 其 是 否 为 素数 。 


1. 爱 拉 托 斯 散 (6atosthenes) 筛 法 

定理 4-8 设 n 是 一 个 正 整 数 ,如 果 对 所 有 满足 p 三 Vn 的 素数 p ,都 有 pn ,那么 一 
定 是 素数 。 

基于 这 个 定理 ,有 一 个 寻找 素数 的 算法 , 称 为 爱 拉 托 斯 散 (Eratosthenes) 筛 法。 要 找 
不 大 于 的 所 有 素数 , 先 将 2 到 之 间 的 整数 都 列 出 ,从 中 删除 小 于 等 于 Vn 的 所 有 素数 
2,3,5,7,"… ,pr( 设 满足 p 三 Vn 的 素数 有 个) 的 倍数 ,余下 的 整数 就 是 所 要 求 的 所 有 
素数 。 

【 例 4-11】 求 不 超过 "一 100 的 所 有 素数 。 

解 因为 V100==10, 小 于 10 的 素数 有 2.3.5.7, 删 去 2 一 100 之 间 的 整数 中 2 的 倍 
数 ( 保 留 2) 得 : 


2 3 4 5 6 7 8 9 3 
ll1 夫 13 让 15 让 17 18 19 20 
21 2 23 2 25 2 站 27 站 29 30 
31 32 33 轩 35 36 37 38 39 析 
41 机 43 村 45 四 47 略 49 人 
51 52 53 入 55 56 57 5 59 60 
61 62 63 外 65 6 67 6 69 7 
71 92 73 入 75 756 77 7 79 80 
81 82 83 84 85 86 87 88 89 9 
91 好 93 对 95 人 97 396 99 i00 


删 去 3 的 倍数 (保留 3) 得 : 
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再 分 别 删 


91 93 95 97 99 


去 5 的 倍数 (以 “一 ”表示 ,保留 5) 和 7 的 倍数 (以 “二 ”表示 ,保留 7) 得 : 

2 3 5 7 
放 “下 17 19 
23 站 29 

入 35 37 
41 43 47 ” 抢 
53 策 59 

61 65 67 
A 克 行 79 
83 85 89 

针 95 97 


此 时 ,余下 的 数 就 是 不 超过 100 的 所 有 素数 。 


爱 拉 托 斯 
实际 上 是 不 可 


散 筛 法 在 判断 n 是 否 为 素数 时 ,要 除 以 不 大 于 Vn 的 所 有 素数 , 当 n 很 大 时 ， 
行 的 。 


2 Mller Rabin 概率 检测 法 


引 理 4-1 
证 明 由 
D 或 pl(z 一 1 
车 p| (z+ 


如 果 p 为 大 于 2 的 素数 , 则 方程 z? 二 1(mod p) 的 解 只 有 zx 三 1 和 x 二 一 1。 
ZX! 三 ] mod p, 有 zz: 一 1 二 0 mod p,(zx 十 1)(x 一 1) 志 0 mod p, 因 此 pl(zx 十 
) 或 pl(z 二 DD 有 pl(z—1)。 
Fl1) 且 p1(x 一 1), 则 存在 两 个 整数 k 和 j ,使 得 z 十 1 一 Ap,z 一 1 一 7)2 两 式 相 


减 得 2 二 (4 一 门 p ,为 不 可 能 结果 。 所 以 有 pl(z 十 1) 或 pl(z 一 1)。 


设 p| 《区 
类 似 地 可 


引 理 4-1 





FD), 则 z 十 1 二 kp;, 因 此 x 三 一 1(mod p)。 
得 z+ 三 1(mod p)。 

( 引 理 4-1 证 毕 ) 
的 逆 否 命题 为 : 如 果 方 程 xz? 二 1 mod p 有 一 解 zo 儿 {一 1,1} ,那么 pp 不 为 


【 例 4-12】 考虑 方程 x? 寺 1(mod 8) ,由 4.1. 3 节 Zs 上 模 乘 法 的 结果 得 


12 


二 1 mod 8，3: 二 1 mod 8,，5: 寺 1] mod 8,，7: 寺 1] mod 8 
3 


Eee 现代 密码 学 (第 4 版 ) me 


又 5 二 一 3 mod 8,7 二 一 1 mod 8, 所 以 方程 的 解 为 1, 一 1,3, 一 3, 可 见 8 不 是 素数 。 
下 面 介 绍 Miller-Rabin 的 素性 概率 检测 法 。 其 核心 部 分 如 下 : 


WIINESS (a,n) 

1. 将 呈 1 表 示 为 二 进 制 形式 hb 1…hb; 

2.d1 

for i-k dnto 0 dof 
xd 
de (GX md n; 
ifd1 and(xz land(n 1) then retum FALSE; 
if h=1 then de (dX a)mod n} 
if dA 1 then retum FALSE; 
retum TFUE. 

算法 有 两 个 输入 , 是 待 检验 的 数 ,a 是 小 于 nn 的 整数 。 如 果 算 法 的 返回 值 为 
FALSE, 则 n 肯定 不 是 素数 ,如 果 返 回 值 为 TRUE, 则 nw 有 可 能 是 素数 。 

for 循环 结束 后 ,有 d 夺 a”!mod n, 由 Fermat 定理 知 , 若 为 素数 , 则 d 为 1。 因此 若 
d 隆 1, 则 不 为 素数 ,所 以 返回 FALSE。 

因为 n 一 1 三 一 1 mod n, 所 以 (z+ 关 1)and(x 关 n 一 1) 意 指 x 三 1(mod 2) 有 不 在 
{ 一 1,1} 中 的 根 , 因 此 ”不 为 素数 ,返回 FALSE。 

该 算法 有 以 下 性 质 : 对 个 不 同 的 we, 重复 调用 这 一 算法 ,只 要 有 一 次 算法 返回 为 
FALSE, 就 可 肯定 不 是 素数 。 如 果 算 法 每 次 返回 都 为 TRUE, 则 是 素数 的 概率 至 少 
为 1 一 2 一 ,因此 对 于 足够 大 的 ,就 可 以 非常 肯定 地 相信 ”为 素数 。 

3. AKS 算 法 

2002 年 ,印度 数学 家 Manindra Agrawal、Neeraj Kayal、 Nitin Saxena 给 出 了 一 个 确 


定性 的 素数 判别 算法 ,简称 AKS 算法 。 
设 N 和 了 分 别 是 自然 数 集合 和 整数 集合 ,日 nE N,aET,gcd(a:m) 一 1, 满足 
a 三 1] modn 
的 最 小 正 整数 & 称 为 模 n 下 a 的 阶 , 记 为 ord, (a)。 
算法 基于 以 下 引 理 ; 
引 理 4-2 设 n 宇 2, 且 是 一 个 自然 数 .aE1T,gcd(a,n) 二 1, 则 是 素数 的 充 要 条 件 是 : 
(X+a)" 三 X"++a(mod n) 


证 明 对 0<i<n,CX+a)" 一 CX" 十 q) 中 XX 的 系数 为 "je" 
1 
和 如果 是 素数 , 则 | ”]=0, 所 以 (0<<i<m) 的 系数 都 为 0。 
1 


如 果 丸 是 合 数 ,可 设 g 是 它 的 一 个 素数 因子 且 gt 1, 则 小 不 能 除 尽 | ”而且 到 和 
9 


an " 互 素 , 所 以 在 模 ? 下 ,X* 的 系数 不 为 0,(X 十 a)" 一 (X" 十 a) 半 0 mod n。 
( 引 理 4-2 证 毕 ) 
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引 理 4-2 给 出 了 一 个 素数 检验 的 简单 方法 ,然而 要 验证 等 式 (X 十 a)" 圭 X" 十 a(mod n) 
是 否 成 立 , 需 计算 n 个 系数 。 为 了 减少 系数 的 计算 ,可 在 等 式 的 两 边 同 时 对 一 个 形 如 
XX" 一 1 的 多 项 式 取 模 (其 中 是 一 个 适当 选择 的 小 整数 ), 即 将 判断 等 式 (X 十 a)" 圭 X” 十 a 
(mod 是 否 成 立 , 改 为 判断 

(Xa)" = X"++a(mod XC—1,n) 

是 否 成 立 。(X 十 a)" 三 X" 十 a(mod X"' 一 1,n) 表 示 在 环 Z,[X]/(X’ 一 1) 上 ,(X 十 a)"= 
X" 十 a。 

算法 如 下 : 

输入 整数 n, 

1. 如 果 呈 才 ,aE N,b> 了 输出“ 合 数 ”; 

2. 求 满足 ord (nm)>logn 的 最 小 的 羡 

3. 如 果 存 在 a, 满 足 a<r 且 1<god(a,n)<n, 输 出 “ 合 数 ”; 

4. 如 果 nr 输出 “素数 ”; 

5. fora 1toLV9g 四 lognj] db 

如 果 ta)" 关 XxX*+atmd XX 一 了 n), 输 出“ 合 数 ”; 
6. 输出 “素数 ”。 


417 欧 几 里 得 算法 


欧 几 里 得 (Euclid) 算 法 是 数论 中 的 一 个 基本 技术 ,是 求 两 个 正 整数 的 最 大 公 因 子 的 
简化 过 程 。 而 推广 的 欧 几 里 得 算法 不 仅 可 求 两 个 正 整 数 的 最 大 公 因 子 , 而 且 当 两 个 正 整 
数 互 素 时 ,还 可 求 出 其 中 一 个 数 关 于 另 一 个 数 的 乘法 逆 元 。 

1 求 最 大 公 因 子 

欧 几 里 得 算法 是 基于 下 面 一 个 基本 结论 : 

设 a.b 是 任意 两 个 正 整 数 ,将 它们 的 最 大 公 因 子 gcd(a.5) 简 记 为 (a,5)。 有 以 下 重要 
结论 





(a.b) = (ba mod b) 

证 明 4 是正 整 数 ,因此 可 将 a 表示 为 a 二 k6 十 r,a mod 0 一 ”~, 其 中 为 一 整数 ,所 以 
a mod b=a—kb。 

设 d 是 a wb 的 公 因 子 , 即 dla.d165, 所 以 dlk5。 由 dla 和 d1|kb 得 d|(a mod5), 因 此 
d 是 5 和 a mod 5b 的 公 因 子 。 

所 以 得 出 a.b 的 公 因子 集合 与 5、a mod b 的 公 因子 集合 相等 ,两 个 集合 的 最 大 值 也 
相等 ,得 证 。 

在 求 两 个 数 的 最 大 公 因 子 时 ,可 重复 使 用 以 上 结论 。 

【 例 4-13〗 〈55,22) 一 (22,55 mod 22)=(22,11)=(11,0)=11。 

【 例 4-14】 (18,12) 一 (12,6) 一 (6.0) 一 6 

(11,10)=(10,1)=1 

欧 几 里 得 算法 如 下 : 设 < 是 任意 两 个 正 整数 , 记 二 a,n 二 5b, 反复 用 上 述 除 法 ( 称 

为 辊 转 相 除 法 ) ,有 : 
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m=ngtre, 0Z<r<n 





n=rgtr, 0<ri<r 


rs =ragatry On<ri 


Le ie ee A a 


由 于 ==6 这 rs 之 … 记 记 mr1 宇 0, 经 过 有 限 步 后 ,必然 存在 n 使 得 ,+1 二 0。 可 得 


(a,5) 三 7， 即 回 转 相 除法 中 最 后 一 个 非 0 余数 就 是 a 和 4 的 最 大 公 因 子 。 这 是 因为 (a， 


b) 








(byrs)= (rs rs3) = = rr) = (7, 0)=r,。 


因 (a,6) 二 (lal,151), 因 此 可 假定 算法 的 输入 是 两 个 正 整 数 ,并 设 a 二 b。 


EICLD(a, b) 

Ra Yby 

. if Y=0 then retutn ¥= (a,b); 

. if Y=1 then retum Y= (a,b); 

.RXmdYy; 

EY 

.=R; 

. goto 2. 

【 例 4-15〗】 求 (1970.1066) 。 
1970 王 1X1066 十 904， (1066 ,904) 
1066 一 1X904 十 162， (904,162) 
904 一 5X162 十 94， (162,94) 


站 PP 








162 一 1X94 十 68， (94,68) 
94 一 1X68 十 26， (68,26) 
68 一 2X26 十 16， (26,16) 
26 王 1X16 十 10， (16,10) 
16 王 1X10 十 6， (10,6) 
10=1X6+4， (6,4) 
6 一 1X4 十 2， (4,2) 
4 一 2X2 十 0， (2,0) 
因此 (1970,1066) 二 2。 
在 驾 转 相 除 法 中 ,有 
ra 一 1 一 2 一 719 一 1 
re 一 Tr3 一 1 一 2g 一 2 
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rs = ni rg 
rz 二 reng 


依次 将 后 一 项 代入 前 一 项 ,可 得 7 由 xo 王 a、 一 6 的 线性 组 合 表 示 。 因 此 有 如 下 结 


: 存在 整数 st, 使 得 sa 十 tb 二 (a,5), 即 两 个 数 的 最 大 公 因 子 能 由 这 两 个 数 的 线性 组 合 


音 


a 第 4 章 公 钥 客 码 mm 


表示 。 


2. 求 乘法 逆 元 
如 果 (a,5) 二 1, 则 5 在 mod a 下 有 乘法 逆 元 (不 妨 设 5<a), 即 存在 一 个 x(x 二 a), 使 
得 bz 三 1 mod a。 推 广 的 欧 几 里 得 算法 先 求 出 (a,5), 当 (a,65) 二 1 时 , 则 返回 2 的 逆 元 。 


ETENTED EUCLID(a, 轧 没 b<a) 

,RR) (0 本 7 (EE, (01D; 
if %=0 then retum 号 = (a,b) ;no irverse; 
证 %=1 then retum %= (ab);%=b mdf 


总 
e|] 
(21,2,2) K- Qf,%- QE,%- QE); 
,总 ) (EE); 
(KE,%) (HRB,B); 
gpto 2. 

算法 中 的 变量 有 以 下 关系 : 

aTi+6bT, = Ts; aXi+bX, = Xs; ayi 十 07s = Ys 

这 一 关系 可 用 归纳 法 证 明 : 设 前 一 轮 的 变量 为 (Ti, Ts,Ts)、(Xi ,Xs,Xs)、(Y1 ,Ys， 

Y3 ) 满 足 


几 品 喇 


Ee 


Sb 

















aTi+6Ts= Ty; aXi+bXs= Xs; aYi+bYs= Ys 

则 这 一 轮 的 变量 (Ti ,T ,Ts) (Xi ,Xs,X;)、(Y1,Y,,Y;) 和 前 一 轮 的 变量 有 如 下 关系 : 
(Ti,T2,Ts) = (Xi— QY',X— QY, Xs— QY') 
(ED 
0 A A Gh ER oP ey 








所 以 
aTi +6T, =a(Xi—QY) 十 OCX 一 Q'Y2) 
aX‘+bXs— Q CoY1i 十 082) = Xs— QYs= Ts 
aXi+bX, = aYi+bYs= Ys= Xs 
ay +bY, = aTi +6bT, = Ts = Ys 
在 算法 EUCLID(a, 丰 中 ,X 等 于 前 一 轮 循环 中 的 Y,Y 等 于 前 一 轮 循环 中 的 X mod Y。 
而 在 算法 EXTENDED EUCLID(a ,0) 中 ,Xs 等 于 前 一 轮 循环 中 的 Y; ,Ys 等 于 前 一 轮 循 
环 中 的 X; 一 QY; ,由 于 Q 是 Y; 除 X 的 商 ,因此 Y 是 前 一 轮 循环 中 的 Y; 除 Xs 的 余数 ， 
即 Xs mod Y;。 可 见 ,EXTENDED EUCLID(a,0) 中 的 Xs、Y 与 EUCLID(a,6) 中 的 六、 
Y 作用 相同 ,因此 可 正确 产生 (a,5)。 
如 果 (a,5) = 二 1, 则 在 倒数 第 二 轮 循环 中 ,Y= 二 1。 由 Y= 二 1, 可 得 aYi 十 bY 二 Ys ,aY 
+bYs=1,bY;=1+(—Yi) Xa,bY=1] mod a, 所 以 Y, 寺 6b"! mod a。 
【 例 4-16】 求 (1769,550)。 
解 算法 的 运行 结果 及 各 变量 的 变化 情况 如 表 4-2 所 示 。 
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表 4-2 求 (1769,550) 时 推广 欧 几 里 得 算法 的 运行 结果 





























循环 次 数 Q Xi X, Xs Ys 路 Ws 
初 值 一 1 0 1769 0 1 550 
1 3 0 1 550 一 3 119 
2 4 1 一 3 119 一 4 13 74 
3 1 一 4 13 74 5 一 16 45 
4 1 5 一 1 45 一 9 29 29 
5 1 一 9 29 29 14 一 45 16 
6 1 14 一 45 16 一 23 74 13 
7 1 一 23 74 13 37 一 119 3 
8 4 37 一 119 3 一 171 550 























所 以 (1769,550) 王 1,550-:mod 1769 一 550。 


418 中 国 剩余 定理 


中 国 剩余 定理 是 数论 中 最 有 用 的 一 个 工具 , 它 有 两 个 用 途 : 一 是 如 果 已 知 某 个 数 关 
于 一 些 两 两 互 素 的 数 的 同 余 类 集 ,就 可 重 构 这 个 数 ;二 是 可 将 大 数 用 小 数 表示 、 大 数 的 运 
算 通 过 小 数 实现 。 

【 例 4-17】 Zw 中 每 个 数 都 可 从 这 个 数 关 于 2 和 5(10 的 两 个 互 素 的 因子 ) 的 同 余 类 
重 构 。 例 如 已 知 z 关 于 2 和 5 的 同 余 类 分 别 是 L0] 和 [3], 即 zx mod 2 三 0,z mod 5 三 3。 
可 知 z 是 偶数 且 被 5 除 后 余数 是 3, 所 以 可 得 8 是 满足 这 一 关系 的 唯一 的 zx。 

【 例 4-18】 假设 只 能 处 理 5 以 内 的 数 , 若 要 考虑 15 以 内 的 数 ,可 将 15 分 解 为 两 个 小 
素数 的 乘积 , 15 一 3X5 ,将 1 一 15 之 间 的 数列 表 表示 , 表 的 行 号 为 0 一 2 , 列 号 为 0 一 4, 将 
1 一 15 的 数 填 入 表 中 ,使 得 其 所 在 行 号 为 该 数 除 3 得 到 的 余数 , 列 号 为 该 数 除 5 得 到 的 余 
数 。 如 12 mod 3 二 0,12 mod 5 二 2 ,所 以 12 应 填 在 第 0 行 ,第 2 列 ,如 表 4-3 所 示 。 


表 4-3 1~15 之 间 的 数 





0 1 2 3 4 
0 0 6 12 3 9 
10 1 7 13 4 
2 5 11 2 8 14 


现在 就 可 处 理 15 以 内 的 数 了 。 

例如 , 求 12X13(mod 15), 因 12 和 13 所 在 的 行 号 分 别 是 0 和 1,12 和 13 所 在 的 列 
号 分 别 是 2 和 3, 由 0X1 寺 0 mod 3;2X3 寺 1 mod 5 得 12X13(mod 15) 所 在 的 列 号 和 行 
号 分 别 为 0 和 1, 这 个 位 置 上 的 数 是 6, 所 以 得 12X13(mod 15) 圭 6。 又 因 0 十 1 三 1 mod 
3;2 十 3 三 0 mod 5, 第 1 行 . 第 0 列 为 10, 所 以 12 十 13 寺 10 mod 15。 

以 上 两 例 是 中 国 剩余 定理 的 直观 应 用 ,下 面具 体 介 绍 定 理 的 内 容 。 

中 国 剩余 定理 最 早 见于 《孙子 算 经 ) 的 “ 物 不 知 数 ” 问 题 : 今 有 物 不 知 其 数 , 三 三 数 之 有 


am 第 4 章 公 钥 客 码 mm 


二 ,五 五 数 之 有 三 ,七 七 数 之 有 二 , 问 物 有 多 少 ? 
这 一 问题 用 方程 组 表示 为 : 
T=2 mod3 
I 三 3 mod 5 
x 三 2 mod7 
下 面 给 出 解 的 构造 过 程 。 首 先 将 3 个 余数 写成 和 式 的 形式 
2 十 3 十 2 
为 满足 第 一 个 方程 , 即 模 3 后 ,后 2 项 消失 ,给 后 2 项 各 乘 以 3, 得 : 
2 十 3.3 十 2。3 
为 满足 第 二 个 方程 , 即 模 5 后 ,第 一 、 三 项 消失 ,给 第 一 、 三 项 各 乘 以 5, 得 ， 
2.5 十 3.3 十 2.3.5 
同 理 , 给 前 2 项 各 乘 以 7, 得 
2.5.7 十 3.3.7 十 2.3.5 
然而 ,将 结果 代入 第 一 个 方程 ,得 到 2。5 .7, 为 消去 5。7, 将 结果 的 第 一 项 再 乘 以 
(5。7)-: mod3, 得 2.5.7.(5。.7)-:mod 3 十 3。3。7 十 2。3。5。 类 似 地 ,将 第 二 项 
乘 以 (3。7)-: mod 5, 第 三 项 乘 以 (3。5)-: mod 7, 得 结果 为 
2.5.7.(5.7): mod3 二 3.3.7.(3.7)- mod5 
十 2。3。5。(3 .5)- mod7 一 233 
又 因为 233 十 &。3。5。7 二 233 十 105k(k 为 任 一 整数 ) 都 满足 方程 组 ,可 取 = 一 2， 
得 到 小 于 105( 二 3。，5。7) 的 唯一 解 23, 所 以 方程 组 的 唯一 解构 造 如 下 : 
[2.5.7.(5.7) mod3 二 3.3.7.(3.7)- mod5 
二 2.3.5.(3.5) ?mod7] mod (3.5.7) 
把 这 种 构造 法 推广 到 一 般 形式 ,就 是 如 下 的 中 国 剩余 定理 。 





定理 4-9( 中 国 剩余 定理 ) ” 设 wm ,ms,… ,mn 是 两 两 互 素 的 正 整数 , M 二 I mi;: 则 一 
次 同 余 方程 组 


amod 2 ) 三 工 


az(mod ms) 三 x 


ak(mod mx:) 三 x 


对 模 M 有 唯一 解 : 


FA (Ea Fa 上 2 Moras J (mod M) 
m1 m2 WE 





其 中 e 满足 ,二 1(mod mi) (i=1,2,.",k)。 


证 明 设 M 一 着 一 [mwi 一 1,2,…,k, 由 Mi 的 定义 得 Mi 与 m; 是 互 素 的 ,可 知 


ti 


M 在 模 mn 下 有 唯一 的 乘法 着 元 , 即 满足 Le; = 1(mod mi) 的 & 是 唯一 的 ， 
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下 面 证 明 对 Vi€ {1,2,…,k}, 上 述 zx 满足 ai(mod mi) 三 +。 注意 到 当 j 关 i 时， 

mi|Mj;, 即 Mj; 寺 0C(mod m;)。 所 以 
(M; X e; mod mj;)mod m; SS((M; mod mi) X ((e; mod m;)mod m;))mod m:; 
0 
而 
(M; X (es mod mi))mod m;  (M; Xe)modm; 三 1 

所 以 x(mod m;) 三 a; ,BT a; (mod m;)=zx。 

下 面 证 明 方程 组 的 解 是 唯一 的 。 设 zx 是 方程 组 的 另 一 解 , 即 

xX’ =ai(mod mi), i= 1,2,…,k 
由 x 三 ai(mod mi;) 得 x 一 x 三 0(mod mi;), 即 mi | (x’ 一 +)。 再 根据 m; 两 两 互 素 ,有 
Ml(zx’ 一 z+), 即 x 一 + 寺 0(mod MD) ,所 以 x (mod M) 一 rzCmod M) 。 
(定理 4-9 证 毕 ) 


中 国 剩余 定理 提供 了 一 个 非常 有 用 的 特性 , 即 在 模 M(M = Im) 下 可 将 大 数 
A 由 一 组 小 数 (a ,as，… ar) 表达 , 且 大 数 的 运算 可 通过 小 数 实现 。 表 示 为 : 


AP (a as, sa) (4-1) 
其 中 ww=A mod m;(i 二 1,…,k), 则 有 以 下 推论 : 
推论 ”如果 
AP(aisazs sa), Bob ,bs ,b,) 
那么 


(A+B)mod Me((a th) mod mr , (Cart br) mod mi) 
(A— B)mod Me ((al CO—b)mod ms, (a — bi)mod mi) 
(A xX B)mod Moe((al Xbi)mod zl (a X br) mod my) 
证 明 可 由 模 运 算 的 性 质 直接 得 出 。 
【 例 4-18 续 】 表 4-3 的 构造 : 
设 1 二 x 二 15, 求 a 三 x mod 3,0 三 x mod 5, 将 z+ 填 入 表 的 a 行列 。 表 建立 完成 后 ， 
数 工 可 由 它 的 行 号 a 和 列 号 4, 按 中 国 剩余 定理 如 下 恢复 ， 
X=[a* 5° (5 mod3) 十 2。3。(3-: mod5)] mod15 三 [ae.5。2 十 0。3。2]mod15 
三 [1l0a 十 66] mod 15 
例如 ,12 mod 3 三 0,12 mod 5 三 2;13 mod 3 三 1,13 mod 5 二 3。 所 以 12 位 于 表 中 第 0 
行 、 第 2 列 ,13 位 于 表 中 第 1 行 .第 3 列 。 反 之 若 求 表 中 第 0 行 、 第 2 列 的 数 ,将 4 二 0,6 二 2 
代入 x 三 [104 十 65] mod 15 ,得 zx 一 12。 
已 知 数 z 的 行 号 a 和 列 号 2 ,可 将 表示 为 (a,5)。z 的 运算 用 (a,5) 实 现 。 设 二 一 
(a13b1) ,Xs = (a29b2); 则 Zz 十 zs = 二 (a 十 as sb 二 bs) ,TI X= 二 (a * assb。b;)。 例 如 ， 
12 王 (0,2) ,13 王 (1,3) ,12 十 13 王 (0,2) 十 (1,3) 一 (1,0),12。13 一 (0,2)。(1,3) 一 (0,1)， 
所 以 12 十 13 为 10,12。13 为 6。 
【 例 4-19】 由 以 下 方程 组 求 
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二 Emod2 
xX 三 2 mod 3 
ZX 三 3 mod 5 
xX 三 5 mod7 





解 M=2.3。5。7=210,M 二 105,M, 二 70,Ms 二 和 2,M 二 30, 易 求 @ 夺 Mi! mod 2 三 1， 
@ 三 M;! mod 3 二 1,e; 三 My! mod 5 二 3,@ 三 My! mod 7 三 4, 所 以 zx mod 210 圭 (105X1X1 十 
70X1X2 十 42X3X3 十 30X4X5)mod 210 夺 173 ,或 写成 x 三 173 mod 210。 

【 例 4-20】 为 将 973 mod 1813 由 模 数 分 别 为 37 和 49 的 两 个 数 表示 ,可取 

X=973,M=1813,mi=37,m,=49。 

由 三 973 mod mm 三 11,as 三 973 mod m, 三 42 得 ,x 在 模 37 和 模 49 下 的 表达 为 (11， 
42) 。 

若 要 求 973 mod 1813 十 678 mod 1813 ,可 先 求 出 

678*>(678 mod 37,678 mod 49) = (12,41) 

从 而 可 将 以 上 加 法 表达 为 ((11 十 12)mod 37,(42 十 41)mod 49) 一 (23,34) 。 


419 离散 对 数 


1. 指标 
首先 回忆 一 下 一 般 对 数 的 概念 ,指数 函数 y= 二 a*(a 二 0,a 取 1) 的 道 函 数 称 为 以 a 为 底 
2 的 对 数 , 记 为 y= 二 logs (x)。 对 数 函 数 有 以 下 性 质 : 
logs(1)= 0, logs(a)= 1, log.(zy) = logs (x)+logs(y), log, (x’) = ylog, (x) 
在 模 运 算 中 也 有 类 似 的 函数 。 设 p 是 一 素数 ,a 是 p 的 本 原 根 , 则 ao ,ao 和: 产生 出 
1~p 一 1 之 间 的 所 有 值 , 且 每 一 值 只 出 现 一 次 。 因 此 对 任意 5€ {1,…,p 一 1) ,都 存在 唯一 的 
i(1 人 i<p 一 1) ,使 得 ou mod p。 称 i 为 模 p 下 以 a 为 底 5 的 指标 , 记 为 i 二 inds,,(5)。 指 
标 有 以 下 性 质 : 
(1) inds,, (1)=0; 
(2) inds,s (a)=1。 
这 两 个 性 质 分 别 由 以 下 关系 可 得 : ao" mod p= 二] mod p= 二 1,a! mod p=a。 
以 上 假定 模 数 p 是 素数 ,对 于 非 素 数 也 有 类 似 结论 ,看 下 例 。 
【 例 4-21】 设 p=9, 则 pg(p) 二 6,a 二 2 是 p 的 一 个 本 原 根 ,a 的 不 同 的 震 为 ( 模 9 下 ) 
| 
由 此 可 得 a 的 指数 表 如 表 4-4(a) 所 示 。 
表 4-4 ”指数 和 指标 举例 









































(a) 模 9 下 2 的 指数 表 (b) 与 9 互 素 的 数 的 指标 
指标 0 2 3 4 5 数 b 2 4 5 7 8 
指数 1 2 4 8 他 5 指标 0 1 2 5 4 3 


重新 排列 表 4-4(a) ,可 求 每 一 与 9 互 素 的 数 的 指标 如 表 4-4(b) 所 示 。 

在 讨论 指标 的 另 两 个 性 质 时 ,需要 如 下 定理 : 

定理 4-10 车 a 寺 ar mod p, 其 中 为 素数 ,a 是 p 的 本 原 根 , 则 有 >*=d mod pg(p)。 
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证 明 因 a 和 Zp 互 素 ,所 以 a 在 模 p 下 存在 道 元 a ,在 wz=o mod p 两 边 同 乘 以 
(a 1)*, 得 a "二 1 mod p。 因 a 是 p 的 本 原 根 ,a 的 阶 为 g(p), 所 以 存在 一 个 整数 ,使 
得 z 一 g 三 kp(p), 所 以 xz 三 g mod g(p)。 

(定理 4-10 证 毕 ) 

由 定理 4-10 可 得 指标 的 以 下 两 个 性 质 : 

(3) inds,s Czy) =[inds,s (zx) +inds,s Cy) Jmod g(p); 

(4) inds,p (y")=[rXinds,, (Cy) mod 9g(p)。 

证 明 (3) 设 zr 二 a™w 中 mod p,y 三 a mod p,Xy 三 a mod p, 由 模 运 算 的 性 
质 得 : 

a mod p = (a™s®? mod p) (an mod p) = (a Htind, ymod p 
所 以 

inds,p (zy) = [inds,, (x)+inds,, (y) Jmod 9(p)。 
性 质 (4) 是 性 质 (3) 的 推广 。 
从 指标 的 以 上 性 质 可 见 ,指标 与 对 数 的 概念 极为 相似 ,将 指标 称 为 离散 对 数 ,如 下 所 述 。 


2 离散 对 数 

设 p 是 素数 ,a 是 p 的 本 原 根 , 即 al ,a?,…,ar! 在 mod p 下 产生 1~p 一 1 的 所 有 
值 ,所 以 对 WE {1,…,p 一 1) ,有 了 唯一 的 i€ {1,…,p 一 1) ,使 得 6 二 a' mod p。 称 i 为 模 p 
下 以 a 为 底 2 的 离散 对 数 , 记 为 i 三 log, (6) (mod p)。 

当 a、p\i 已 知 时 ,用 快速 指数 算法 可 比较 容易 地 求 出 5. 但 如 果 已 知 ab 和 pp, 求 i 则 
非常 困难 。 目 前 已 知 的 最 快 的 求 离散 对 数 算法 的 时 间 复 杂 度 为 : 

O(exp((lnp) 二 In(lnp))) 

所 以 当 p 很 大 时 ,该 算法 也 是 不 可 行 的。 


4110 平方 剩余 
设 n 是正 整 数 ,a 是 整数 ,满足 gcd(a.n) 二 1, 称 a 是 模 n 的 二 次 剩余 ,如 果 方 程 


ZX’ 二 a(mod n) 
有 解 ,否则 称 为 二 次 非 剩 余 。 
【 例 4-22】 x 三 1 mod 7 有 解 : z 一 1,z 一 6; 
Zz 二 2 mod 7 有 解 : zx 一 3,z 一 4; 
ZX 三 3 mod 7 无 解 ; 
ZX 二 4 mod 7 有 解 : x 二 2,x 二 5; 
Zz 三 5 mod 7 无 解 ; 
ZX: 三 6 mod 7 无 解 。 
可 见 共 有 3 个 数 (1、2、4) 是 模 7 的 二 次 剩余 , 且 每 个 二 次 剩余 都 有 两 个 平方 根 ( 即 例 
中 的 z) 。 
容易 证 明 , 若 p 是 素数 , 则 模 p 的 二 次 剩余 的 个 数 为 (p 一 1)/2, 且 与 模 p 的 二 次 非 剩 余 
的 个 数 相等 。 如 果 a 是 模 p 的 一 个 二 次 剩余 ,那么 a 恰 有 两 个 平方 根 ,一 个 在 0~~(p 一 1)/2 
之 间 , 另 一 个 在 (p 一 1)/2 十 1~~p 一 1 之 间 , 且 这 两 个 平方 根 中 的 一 个 也 是 一 个 模 p 二 次 
剩余 。 
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定义 4-6 设 思 是 素数 ,a 是 一 整数 ,符号 ( 各] 的 定义 如 下 
Os 如 果 a 被 p 整除 
(2)= 1， ”如 果 &a 是 模 p 的 平方 剩余 
一 1， 如 果 a 是 模 p 的 非 平方 剩余 
称 符号 (各 访 Legendre 符号 。 


rmt (3)=(?)=(#)=1(7)=(7)-(?)=— 

计算 [人 ] 有 一 个 简单 公式 ,| 全] 一 core mod p。 

【 例 4-24〗】 2 一 23,a 一 5,a2 5020 mod p 三 54 mod p= 二 一 1, 所 以 5 不 是 模 23 的 二 次 
剩余 。 

Legendre 符号 有 以 下 性 质 : 

定理 4-11 设 p 是 奇 素数 ,a 和 2 都 不 能 被 p 除 尽 , 则 


(1) 车 a 三 b mod p: 则 ( 生 ]=( 和 )， 
oo 的 -全 的 

G) ($)=1 

全- 全) 


证 明 从 略 。 
以 下 定义 的 Jacobi 符号 是 Legendre 符号 的 推广 。 


定义 4-7 设 n 是 正 整数 , 且 n= 二 ph pj…p& ,定义 Jacobi 符号 为 


a a fa 1 a \ 
‘ ) 月 辣 “(2 
其 中 右 端 的 符号 是 Legendre 符号 。 
当 nn 为 素数 时 ,Jacobi 符号 就 是 Legendre 符号 。 
Jacobi 符号 有 以 下 性 质 : 
定理 4-12 设 是 正 合 数 .a 和 2 是 与 n 互 素 的 整数 , 则 


(1) 车 o= mod 则 (= 各); 


n 





























oo 的 -人 人 的) 
o (的 -全 
oo (人 -人 


对 一 些 特殊 的 ec,Jacobi 符号 可 计算 如 下 : 


全 1， (也 ) (一 DD 全 ， 2) 一 DD 地 
n nn n 
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定理 4-13(Jacobi 符号 的 互 反 律 ) 设 mn 均 为 大 于 2 的 奇数 , 则 


若 m 硅 n 三 3 mod 4, 则 [ 昱 ] ( 芋 ); 盏 凤 ( 至 ] EE): 


以 上 性 质 表明 ; 为 了 计算 Jacobi 符号 (包括 Legendre 符号 作为 它 的 特殊 情形 ) ,我 们 
并 不 需要 求 素 因子 分 解 式 。 例如 ,105 虽然 不 是 素数 ,在 计算 Legendre 符号 [区 3] 时, 可 
以 先 把 它 看 作 Jacobi 符号 来 计算 ,由 上 述 两 个 定理 得 : 
105 317 - 
(器 ) (| ( 志 ) 1 
一 般 在 计算 [至] 时 ,如 果 有 必要 ,可 用 m mod nn 代替 办， 而 互 反 律 用 以 减 小 (至) 中 
的 nn。 


























见 , 引 入 Jacobi 符号 对 计算 Legendre 符号 是 十 分 方便 的 ,但 应 强调 指出 ,Jacobi 符 
号 和 Legendre 符号 的 本 质 差别 是 : Jacobi 符号 [名 ] 不 表示 方程 x? 三 a mod nn 是 否 有 解 。 
例如 ==pipswa 关于 pl 和 ps 都 不 是 二 次 剩余 , 即 xz? 二 a mod pl 和 x 三 a mod ps 者 无 
解 ,由 中 国 剩余 定理 知 2 三 a mod n 也 无 解 。 但 是 ,由 于 [各 ]=( 友 ]= 一 1, 所 以 (和) 














p: 
(£)(E)=1. 即 x 二 a mod n 虽 无 解 ,但 Jacobi 符号 (各 j 基 为 Ls 
【 例 4-25〗 考虑 方程 x? 夺 2 mod 3599, 由 于 3599 二 59X61, 所 以 方程 等 价 于 方程 组 
三 2 mod 59 
Xx’ 三 2 mod 61 


到 -1 





由 于 [ 亩 ]== 一 1 所 以 方程 组 无 解 ,但 Jacobi 符号 (5 一 (一 DD 一 一 1 


下 面 考 虑 公 钥 密码 体制 中 一 个 非常 重要 的 问题 。 

设 是 两 个 大 素数 p 和 g 的 乘积 。 由 上 述 结 论 ,1 一 p 一 1 之 间 有 一 半数 是 模 p 的 平 
方 剩余 ( 记 这 些 数 的 集合 为 Q, ) , 另 一 半 是 模 p 的 非 平 方 剩余 ( 记 这 些 数 的 集合 为 NQ,)， 
对 gq 也 有 类 似 结 论 ( 分 别 记 两 个 集合 为 Q, 和 NQ,) 。 另 一 方面 ,a 是 模 的 平方 剩余 , 当 
且 仅 当 a 既是 模 p 的 平方 剩余 也 是 模 g 的 平方 剩余 , 即 acEQs 站 Q,。 所 以 对 满足 

0=a=<n, gcd(a.n)=1 


的 4. 有 一 半 满足 [=1(a€ QnQ, 或 os NQ, NNQ), 另 一 半 满 足 ( 


EE 


和 1= 
n 


-leEQrnNQ' 或 ce Na 站 Q,)。 而 在 满足 [各]=1 的 a 中 ,有 一 半 满足 (各)= 











(各)=1(ae QQ, 这 些 a 就 是 模 的 平方 剩余 : 另 一 半 满足 [各] 各】 
一 1(a€ NQ, 门 NQ,) ,这些 a 是 模 n 的 非 平方 剩余 。 
设 a 是 模 n 的 平方 剩余 , 即 存在 zx 使 得 x? 寺 a mod n 成 立 , 因 a 既是 模 p 的 平方 剩 
余 , 又 是 模 g 的 平方 剩余 ,所 以 存在 y、z, 使 得 ( 士 y)? 寺 a mod p,( 土 xz)? 寺 a mod g, 当 p 圭 
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gq 三 3 mod 4 时 ,> 和 < 可 容易 地 求 出 (请 参阅 4.5 节 )。 因 此 
二 十 y mod p， x 二 +xmodg 

由 中 国 剩余 定理 可 求 得 z, 即 为 a mod n 的 4 个 平方 根 。 

以 上 结果 表明 ,已 知 的 分 解 n 二 pq, 且 a 是 模 n 的 平方 剩余 ,就 可 求 得 a mod nn 的 
4 个 平方 根 。 

下 面 考 虑 相反 的 问题 , 即 已 知 a mod n 的 两 个 不 同 的 平方 根 (u modz 和 w mod >, 且 
4 天 士 zw mod n) ,就 可 分 解 n。 

事实 上 由 好 三 zs mod nn 得 (ww 十 w) (wu 一 w) 夺 0 mod n, 但 nn 既 不 能 整除 w 十 w, 也 不 能 
整除 一 志 , 否 则 由 nl(w 十 ww) 或 n|(u 一 w) ,可 得 wu 三 一 w mod n 或 u 圭 w mod n。 

由 (十 w) (wu 一 w) 夺 0 mod ns, 得 p(w 十 ww) (4 一 ww) 及 gq|(w 十 Ww) (wu 一 w), 所 以 必 有 
pi 十 ww) 或 p(w 一 w) 且 gl(w 十 w) 或 gi(u 一 ww)。 

当 pl(w 二 ww) 时 , 必 有 gf(u 二 ww) ,否则 =pq| (wu 十 w)。 所 以 当 p|(w 十 w) 时 , 必 有 
gq|1 (一 w) 。 同 理 当 pl(u 一 w) 时 , 必 有 gg|(u 十 w)。 

在 第 一 种 情况 下 











gcd(nsut+w) = p, gcd(nu—w)=g 
在 第 二 种 情况 下 
gcd(nsu—w) = p, gcd(nsut+w)=g 
因此 得 到 了 的 两 个 因子 。 
将 以 上 讨论 总 结 为 : 
定理 4-14 ” 当 bp 三 g 三 3 mod 4 时 ,求解 方程 x? 二 a mod ?与 分 解 是 等 价 的 。 
第 2 个 重要 结论 是 : 当 p 三 g 三 3 mod 4 时 ,a mod n 的 两 个 不 同 的 平方 根 和 ww 的 
Jacobi 符号 有 如 下 关系 : 
sms 


证 明 由 以 上 讨论 知 ,usre 满足 
pll(utw), ql(u—w) 
或 
pl(u—w), ql(utw) 
即 v 反 一 zw mod pwu 三 w mod gq 或 三 w mod pu 三 一 w mod g。 


若 为 第 一 种 情况 ， 
有 RD RD 
设 6 一 亿 +3, 则 (本 ] 一 (De mod pp 二 (一 1)*+! mod pp 二 一 1, 所 以 上 式 等 于 


-0 


同 理 可 证 第 二 种 情况 。 














(定理 4-14 证 毕 ) 
41.11 循环 群 


定理 4-15(Lagrange 定理 ) 有 限 群 G 的 任意 子 群 H 的 阶 整除 群 的 阶 , 即 |H | | 1G |。 
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证 明 要 用 到 正规 子 群 及 陪 集 的 概念 , 略 去 。 

定理 4-16 循环 群 的 子 群 是 循环 群 。 

证 明 设 孔 是 循环 群 G 二 {gl1i 一 1,…} 的 子 群 .k 是 使 得 g*€ 了 HH 的 最 小 正 整 数 。 对 
任 一 a=g'€EH , 令 i=gk 十 r(0 二 r<k), 则 g'==(g*)'g',g'=g'i(g*) 1€H。 所 以 r=0， 
否则 与 的 最 小 性 矛盾 。 所 以 g' 王 (g*)*,HH 是 由 g* 生成 的 循环 子 群 。 

(定理 4-16 证 毕 ) 

定理 4-17 设 G 是 n 阶 有 限 群 ,a 是 G 中 任 一 元 素 , 有 一 e。 

证 明 设 昌 二 {evasa?,…sa”'), 其 中 r+ 是 a 的 阶 , 易 证 ( 吾 ,*) 是 (G ,，》 的 子 群 ,由 
Lagrange 定理 ,| 五 ||1G| ,rln, 存 在 正 整 数 1, 使 得 n= 二 rt。 所 以 a"==(a”)' 二 e。 

(定理 4-17 证 毕 ) 
定理 4-18 ”素数 阶 的 群 是 循环 群 , 且 任 一 与 单位 元 不 同 的 元 素 是 生成 元 。 

证 明 设 (G,. 是 群 , 且 1G |=p(p 为 素数 ) 。 任 取 ecEG,a 天 ec, 构造 也 = {e,a， 
4 ,…)} , 易 知 瑞 是 G 的 子 群 ( 同 定 理 4-17)。 设 | 及 |==n, 则 nn 隆 1。 由 Lagrange 定理 ， 
nlp; 所 以 n==p,H = 二 G。 所 以 G 是 循环 群 ,a 是 生成 元 。 

(定理 4-18 证 毕 ) 


定理 4-19 设 a" 是 n 阶 循环 群 G = 二 (4a) 中 任 一 元 素 ,d 二 gcd(n,r)。 那 么 ord,(a) 一 六。 


证 明 由 d==gcd(n,r),dln 且 dl|r。 设 n= 二 dqi,r 二 dgs, 其 中 gi = 六,q 一方 ' 且 


gcd(ql ,qz ) 一 1 。 

















首先 ,Ca") 这 一 (aaa 二 aw" 二 (a")% 二 ew 二 e。 设 ord, (a”) 一 k, 则 上 $e 
其 次 ,由 (a 一 e, 可 得 | 芭 , 两 边 同 除 以 4 得 二 | 二 ,但 [和 ,地 ] 一 1, 所 以 二 |4。 
dd d 








n 


Yon ry) 二 了 
所 以 k= ord, a") 4° 


(定理 4-19 证 毕 ) 
定理 4-20 在 ) 阶 循环 群 G ==(a) 中 ,a” 是 生成 元 当 且 仅 当 gcd(r,n) 二 1。 
证 明 设 gcd(n,r) 二 d。 若 a 是 生成 元 , 则 有 ord, (a’) 二 nn。 但 由 定理 4-19， 


ord,(an) 一 部 ,所 以 有 记 一 n,d 一 1, 即 gcd(n,7) 二 1。 反 之 车 d 二 gcd(n,7) 二 1, 则 ord, (a”) 二 


站 一 是 生成 元 。 


(定理 4-20 证 毕 ) 
4112 循环 群 的 选取 
在 实际 应 用 中 经 常 需要 使 用 群生 成 算法 产生 一 系列 循环 群 , 群 的 描述 包括 一 个 有 限 


的 循环 群 G 以 及 G 的 素数 阶 的 子 群 G 、G 的 生成 元 g、G 的 阶 g, 用 T[G ,G ,g ,qj 表示 群 
的 描述 ,其 上 的 运算 有 : 


。 乘 法 运算 一 一 为 确定 性 的 多 项 式 时 间 算 法 ,输入 T[G,G,g.g] 及 有 ,hs EG, 输 出 
106 


IE 第 4 章 公 角 密码 mm 


hi * hs EG 
。 求 逆 运 算 一 一 为 确定 性 的 多 项 式 时 间 算法 ,输入 T[G ,G ,g,g] 及 hEG, 输 出 
h-1€G, 
。 子 群 判定 运算 一 一 为 确定 性 的 多 项 式 时 间 算 法 ,输入 T[G,G ,g,qj 及 hEG, 判 断 
是 否 AEG。 
。 求 生成 元 及 子 群 的 阶 一 一 为 确定 性 的 多 项 式 时 间 算法 ,输入 T[G,G,g,qj, 输 出 g 
和 gqg。 
有 些 群 不 存在 求 子 群 的 阶 的 多 项 式 时间 算 法 ,例如 对 合 数 nn, 群 Z;。 
实际 应 用 中 ,经 常 使 用 的 循环 群 有 以 下 几 类 。 
(1) 设 L(xr) ,ls (x) 是 安全 参数 «的 多 项 式 有 界 的 整数 函数 ,满足 1 三 L(x) 二 1 (x)， 
TLG,G ,g,qj 由 三 元 组 (q,p,g) 表 示 , 其 中 
。g 是 一 个 11(x) 比 特长 的 随机 素数 。 
。p 是 一 个 1,(x) 比 特长 的 随机 素数 ,满足 p 夺 1 mod g。 
。g 是 G 的 随机 生成 元 。 
其 含义 为 循环 群 G =Z; ,G 是 G 的 阶 为 gq 的 唯一 子 群 。 
Z;? 中 的 元 素 能 用 1 (x) 长 的 比特 串 表示 ,其 上 的 元 素 乘 法 运算 可 用 模 p 乘法 运算 , 求 
道 运算 可 使 用 推广 的 欧 几 里 得 算法 ,判断 元 素 a mod pE Zi 是 否 属于 子 群 G 可 通过 判断 
a 三 ] mod p 是 否 成 立 。 
G 的 随机 生成 元 g 可 如 下 产生 : 产生 Z; 的 随机 元 素 , 求 它 的 刀 二 次 宕 ,如 果 求 宕 后 
得 到 1 mod p, 则 重新 选取 Z; 的 另 一 随机 元 素 ,重复 上 述 过 程 。 
(2) 除了 pp 二 2g 十 1, 其 余 参 数 与 1 的 群 相同 ,此 时 关于 Z; 的 g 阶 子 群 G 有 以 下 结论 。 
定理 4-21 当 p==2g 十 1 时 ,Z; 的 g 阶 子 群 G 是 二 次 剩余 类 子 群 ( 即 其 所 有 元 素 都 是 
二 次 剩余 ) 。 
证 明 若 g 是 Z; 的 生成 元 ,对 任 一 cEG ,存在 整数 i, 使 得 a 三 g' mod p。 又 知 a 二 1， 


i 定 是 偶数 , 即 a 是 二 次 剩余 。 








所 以 g* gi 1, 所 以 p 一 1 





(定理 4-21 证 毕 ) 
因为 计算 Legendre 符号 [各] 比 求 模 指数 运算 1 三 1 mod 思 容易 ,所 以 判断 元 素 a 


mod pEZ; 是 否 属于 子 群 G .可 通过 判断 人生 ] 是 否 等 于 1 完成 。 


4113 双 线 性 映射 


设 g 是 一 大 素数 ,G ,和 G ,是 两 个 阶 为 4 的 群 ,其 上 的 运算 分 别称 为 加 法 和 乘法 。 
G1 到 G; 的 双 线 性 映射 2: G1 XG 一 Gs ,满足 下 面 的 性 质 : 
(1) 双 线 性 。 如 果 对 任意 P,Q,REG1 和 a,5EZ, 有 elaP,bQ) 一 el(P,Q)* ,或 e(P 十 
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Q,R)=zCP,R).zCQ,R) 和 zCP,QTR)=zCP,Q) .zCP,R), 那 么 就 称 该 映射 为 双 线 性 
映射 。 

(2) 非 退 化 性 。 映 射 不 把 G ,XG ,中 的 所 有 元 素 对 ( 即 序 偶 ) 映 射 到 G ,中 的 单位 元 。 
由 于 Gi ,Gs 都 是 阶 为 素数 的 群 ,这 意味 着 : 如 果 P 是 G ,的 生成 元 ,那么 6(P,P) 就 是 G, 的 
生成 元 。 

(3) 可 计算 性 。 对 任意 的 P,QE G, ,存在 一 个 有 效 算法 计算 ECP,Q) 。 

Weil 配对 和 Tate 配对 是 满足 上 述 3 条 性 质 的 双 线 性 映射 。 

第 二 类 双 线 性 映射 形 如 : 6。: G1 XGs 一 Gr, 其 中 G1、G。 和 Gr 都 是 阶 为 g 的 群 ,Gs 到 
G1 有 一 个 同 态 映 射 y: Gs 一 Gi ,满足 y(g,) 二 gi ,其 中 gi 和 gs 分 别 是 G1 和 Gs 上 的 固定 生 
成 元 。G, 中 的 元 素 可 用 较 短 的 形式 表达 ,因此 在 构造 签名 方案 时 ,把 签名 取 为 Gi 中 的 元 
素 , 可 得 短 的 签名 。 在 构造 加 密 方案 时 ,把 密 文 取 为 Gi 中 的 元 素 , 可 得 短 的 密 文 。 


41.14 计算 复杂 性 


对 一 个 密码 系统 来 说 ,应 要 求 在 密 钥 已 知 的 情况 下 ,加 密 算 法 和 解密 算法 是 “容易 
的 ”, 而 在 未 知 密 钥 的 情况 下 ,推导 出 密 铀 和 明文 是 “困难 的 ”>。 那 么 如 何 描述 一 个 计算 问 
题 是 “容易 的 ?还 是 “困难 的 ?? 可 用 解决 这 个 问题 的 算法 的 计算 时 间 和 存储 空间 来 描述 。 
算法 的 计算 时 间 和 存储 空间 (分 别称 为 算法 的 时 间 复 杂 度 和 空间 复杂 度 ) 定 义 为 算法 输入 
数据 的 长 度 n 的 函数 fn)。 当 很 大 时 ,通常 只 关心 f(n) 随 着 n 的 无 限 增 大 是 如 何 变 
化 的 , 即 算法 的 渐 近 效率 。 渐 近 效 率 通常 使 用 以 下 几 种 : 


下 日 记号 

O 记号 给 出 的 是 FCz) 的 渐 近 上 界 。 如 果 存 在 常数 C 和 六 , 当 ?>>N 时 ,f(m) 声 
Cg(D) , 则 记 f(D) 二 OCg(m))。 所 以 O 记 号 给 出 的 是 了 (x) 在 一 个 常数 因子 内 的 上 界 。 

例如 ,Foz) 王 82 十 10, 则 当 7N=10 时 ,f0D) 志 9n, 所 以 f(m)= 二 O(n)。 

一 般 地 ,车 Fa) 一 ao 十 az 十 …… 十 ai 则 f(n) 二 O(nt)。 

若 算法 的 时 间 复 杂 度 为 T 王 O() , 则 称 该 算法 是 多 项 式 时 间 的 ; 若 了 =OCexm ) ,其 
中 是 常数 ,f(n) 是 多 项 式 , 就 称 该 算法 是 指数 时 间 的 。 

20 记 号 

O 记 号 给 出 的 渐 近 上 界 可 能 是 渐 近 紧 确 的 ,也 可 能 不 是 。 比 如 2w? 二 O(n ) 是 渐 近 紧 
确 的 ,但 2n 二 Or?) 却 不 是 。o 记号 给 出 的 是 jz) 的 非 渐 近 紧 确 的 上 界 。 如 果 对 任意 常 
数 C, 存 在 常数 N, 当 ?六 时 ,0 近 FOoD) 过 Cg(Cz) , 则 记 Fo) 一 oCg(Cz))。 

例如 ,27 一 o(022 ) , 212 天 o(C22 ) 。 

从 直观 上 看 ,在 。 表示 中 , 当 n 趋 于 无 穷 时 ,f(n) 相 对 于 g(n) 来 说 就 不 重要 了 , 即 


7 
De ead 


定义 4-8 字母 青 是 一 个 有 限 的 符号 集合 ,上 的 语言 L 是 上 的 符号 构成 的 符 
号 串 的 集合 。 
一 个 图 灵机 M 接受 一 个 语言 工 表 示 为 xEL 会 M(z) 一 1, 这 里 简单 地 用 1 来 表示 接受 。 
108 


Eee 第 4 章 公 铀 密码 El 


有 两 种 类 型 的 计算 性 问题 是 比较 重要 的 。 第 一 种 是 可 以 在 多 项 式 时 间 内 判定 的 语言 
集合 ,表示 为 P。 正 式 地 说 ,zxEL, 当 且 仅 当 存 在 图 灵机 在 最 多 p(|x1) (zp 为 某 个 多 项 式 ， 
工 是 图 灵机 的 输入 串 , |x| 表 示 xz 的 长 度 ) 步 内 接受 一 个 输入 ,我 们 就 说 语言 L 在 P 中 。 
第 二 种 是 NP 类 语言 ,NP 问题 是 指 可 在 多 项 式 时 间 内 验证 它 的 一 个 解 的 问题 。 即 对 语言 
中 的 元 素 存在 多 项 式 时 间 的 图 灵机 可 验证 该 元 素 是 否 属于 该 语言 。 正 式 地 说 ,如 果 存 在 
一 个 多 项 式 图 灵机 M, 使 得 zxEL 当 且 仅 当 存在 一 个 串 wz 使 得 M(xz,w,) 二 1。 我 们 就 说 
语言 工 在 NP 中。w, 称 为 zx 的 证 据 , 用 于 证 明 xEL。 

因为 可 在 多 项 式 时 间 内 求解 就 一 定 可 在 多 项 式 时 间 内 验证 。 但 反 过 来 不 成 立 , 因 为 
求解 比 验 证 解 更 为 困难 。 用 P 表示 所 有 PP 问题 的 集合 ,NP 表示 所 有 NP 问题 的 集合 , 则 
有 PCNP。 在 NP 类 中 ,有 一 部 分 可 以 证 明 比 其 他 问题 困难 ,这 一 部 分 问题 称 为 NPC 问 
题 。 也 就 是 说 ,NPC 问题 是 NP 类 中 “最 难 ” 的 问题 。 

定义 4-9 一 个 函数 ce: R-~~[0,1] 是 可 忽略 的 当 且 仅 当 对 于 Y 记 0, 存 在 一 个 N.>0 
使 得 对 于 VN 之 N., 有 ecCN)<1/N。 

直观 地 ,。(。) 是 可 忽略 的 , 当 且 仅 当 它 的 增长 速度 比 任何 多 项 式 的 逆 更 慢 。 一 个 常 
见 的 例子 是 道 指数 ek) 二 2“*。 对 于 任意 的 c,2“ 二 O(1/k')。 

称 一 个 机 器 是 概率 多 项 式 时 间 的 ,如 果 它 的 运行 步 数 是 安全 参数 的 多 项 式 函 数 , 简 记 
光 衣 

定义 4-10 设 二 {Xi} 和 二 {Y) 是 两 个 分 布 总 体 , 其 中 X 和 YY 是 同一 空间 上 的 分 
布 (对 于 所 有 的 &)。 和 是 计算 上 不 可 区 分 的 ( 记 为 三 ), 如 果 对 于 所 有 PPT 敌手 ,下 
式 是 可 忽略 的 : 





| Pr[z RXi; (x) = 1]—Prly<rYi; (y)=1]| 
一 些 符号 使 用 说 明 : 如 果 S 是 集合 , 则 z<S 表示 从 S 中 均匀 随机 选取 元 素 工 。 如 
果 A(。) 是 随机 化 算法 , 则 z<A(。) 表 示 运 行 A(。)( 输 入 是 均匀 随机 的 ) 得 到 输出 zx。 
Zz 三 A(，) 表 示 将 4(， ) 的 值 赋值 给 zx。 概 率 表达 式 中 (zx) 二 1 表示 判断 〈z) 是 否 为 1。 


4.3 公 钥 密码 体制 的 基本 概念 





在 公 钥 密码 体制 以 前 的 整个 密码 学 史 中 , 所 有 的 密码 算法 ,包括 原始 手工 计算 的 、 由 
机 械 设备 实现 的 以 及 由 计算 机 实现 的 ,都 是 基于 代 换 和 置换 这 两 个 基本 工具 。 而 公 钥 密 
码 体制 则 为 密码 学 的 发 展 提供 了 新 的 理论 和 技术 基础 ,一 方面 , 公 钥 密码 算法 的 基本 工具 
不 再 是 代 换 和 置换 ,而 是 数学 函数 ; 另 一 方面 , 公 钥 密码 算法 以 非 对 称 的 形式 使 用 两 个 密 
钥 ,两 个 密 钥 的 使 用 对 保密 性 、 密 钥 分 配 、 认 证 等 都 有 着 深刻 的 意义 。 可 以 说 , 公 钥 密码 体 
制 的 出 现在 密码 学 史上 是 一 个 最 大 的 而 且 是 唯一 真正 的 革命 。 

公 钥 密码 体制 的 概念 是 在 解决 单 钥 密码 体制 中 最 难 解决 的 两 个 问题 时 提出 的 ,这 两 
个 问题 是 密 钥 分 配 和 数字 签字 。 

单 钥 密码 体制 在 进行 密 钥 分 配 时 (请 参阅 第 5 章 ) ,要 求 通信 双方 或 者 已 经 有 一 个 共 
享 的 密 钥 ,或 者 可 借助 于 一 个 密 钥 分 配 中 心 。 对 第 一 个 要 求 ,常常 可 用 人 工 方式 传送 双方 

109 


ee 现代 密码 学 (第 4 版) mm 


最 初 共享 的 密 钥 , 这 种 方法 成 本 很 高 ,而 且 还 完全 依赖 于 信使 的 可 靠 性 。 第 二 个 要 求 则 完 
全 依赖 于 密 钥 分 配 中 心 的 可 靠 性 。 

第 二 个 问题 数字 签字 考虑 的 是 如 何 为 数字 化 的 消息 或 文件 提供 一 种 类 似 于 为 书面 文 
件 手书 签字 的 方法 。 

1976 年 W. Diffie 和 M. Hellman 对 解决 上 述 两 个 问题 获得 了 突破 ,从 而 提出 了 公 铀 
密码 体制 。 


421 公 钥 密码 体制 的 原理 


公 钥 密码 算法 的 最 大 特点 是 采用 两 个 相关 密 钥 将 加 密 和 解密 能 力 分 开 , 其 中 一 个 密 
钥 是 公开 的 , 称 为 公开 密 钥 ,简称 公开 钥 , 用 于 加 密 ; 另 一 个 密 钥 是 为 用 户 专用 ,因而 是 保 
密 的 , 称 为 秘密 密 钥 ,简称 秘密 钥 , 用 于 解密 。 因 此 公 钥 密码 体制 也 称 为 双 钥 密码 体制 。 
算法 有 以 下 重要 特性 : 已 知 密码 算法 和 加 密 密 钥 ,求解 密 密 钥 在 计算 上 是 不 可 行 的 。 

图 4-1 是 公 钥 体 制 加 密 的 框图 ,加 密 过 程 有 以 下 几 步 : 

(1) 要 求 接收 消息 的 端 系统 ,产生 一 对 用 来 加 密 和 解密 的 密 钥 ,如 图 中 的 接收 者 B， 
产生 一 对 密 钥 PKs ,SKs ,其 中 PKs 是 公开 钥 ,SKs 是 秘密 钥 。 

(2) 端 系统 了 B 将 加 密 密 钥 (如 图 中 的 PKs) 予 以 公开 。 另 一 密 钥 则 被 保密 (图 中 的 
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PK SKg 
密 明 源 























4-1 公 钥 体制 加 密 的 框图 


(3) A 要 想 向 了 发 送 消息 m, 则 使 用 B 的 公开 钥 加 密 mm, 表 示 为 c= prs Ln], 其 中 
是 密 文 , 是 加 密 算法 。 
(4) B 收 到 密 文 < 后 ,用 自己 的 秘密 钥 SKs 解密 ,表示 为 m 二 sr, [cj, 其 中 是 解密 算 
法 。 
因为 只 有 B 知道 SKs ,所 以 其 他 人 都 无 法 对 c 解密 。 
公 钥 加 密 算法 不 仅 能 用 于 加 、 解 密 , 还 能 用 于 对 发 方 A 发 送 的 消息 m 提供 认证 ,如 
图 4-2 所 示 。 用 户 A 用 自己 的 秘密 钥 SKA 对 m 加 密 , 表 示 为 


So skA Lm] 
将 c 发 往 B。B 用 A 的 公开 钥 PKA 对 < 解密 ,表示 为 
7 一 PkA[c] 


因为 从 m 得 到 c 是 经 过 A 的 秘密 钥 SKA 加 密 , 只 有 A 才能 做 到 。 因 此 < 可 当 作 A 
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图 4-2 公 钥 密码 体制 认证 框图 









































对 m 的 数字 签字 。 另 一 方面 ,任何 人 只 要 得 不 到 A 的 秘密 钥 SKA 就 不 能 算 改 mm, 所 以 以 
上 过 程 获得 了 对 消息 来 源 和 消息 完整 性 的 认证 。 

在 实际 应 用 中 ,特别 是 用 户 数目 很 多 时 ,以 上 认证 方法 需要 很 大 的 存储 空间 ,因为 每 
个 文件 都 必须 以 明文 形式 存储 以 方便 实际 使 用 ,同时 还 必须 存储 每 个 文件 被 加 密 后 的 密 
文 形式 即 数字 签字 ,以 便 在 有 争议 时 用 来 认证 文件 的 来 源 和 内 容 。 改 进 的 方法 是 减 小 文 
件 的 数字 签字 的 大 小 , 即 先 将 文件 经 过 一 个 函数 压缩 成 长 度 较 小 的 比特 串 ,得 到 的 比特 串 
称 为 认证 符 。 认 证 符 具 有 这 样 一 个 性 质 : 如 果 保 持 认证 符 的 值 不 变 而 修改 文件 这 在 计算 
上 是 不 可 行 的 。 用 发 送 者 的 秘密 钥 对 认证 符 加 密 ,加 密 后 的 结果 为 原文 件 的 数字 签字 。 
这 一 内 容 将 在 第 7 章 详 细 介 绍 。 

在 以 上 认证 过 程 中 ,由 于 消息 是 由 用 户 自己 的 秘密 钥 加 密 的 ,所 以 消息 不 能 被 他 人 得 
改 , 但 却 能 被 他 人 窃听 。 这 是 因为 任何 人 都 能 用 用 户 的 公开 钥 对 消息 解密 。 为 了 同时 提 
供认 证 功能 和 保密 性 ,可 使 用 双重 加 、 解 密 ,如 图 4-3 所 示 。 











m 了 c z m 


发 送 者 A | 一 一 | 加 密 算法 一 一 | 加 密 算法 一 解密 算法 一 一 | 解密 算法 一 | 接收 者 B 
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图 4-3 公 钥 密码 体制 的 认证 、 保 密 框图 


发 方 首先 用 自己 的 秘密 钥 SKA 对 消息 m 加 密 , 用 于 提供 数字 签字 。 再 用 收 方 的 公开 
钥 PKs 第 二 次 加 密 ,表示 为 
Sl PKe[ ska [zz]] 
解密 过 程 为 
= praL srs Lc]] 
即 收 方 先 用 自己 的 秘密 钥 再 用 发 方 的 公开 钥 对 收 到 的 密 文 两 次 解密 。 


422 公 钥 密码 算法 应 满足 的 要 求 


公 钥 密码 算法 应 满足 以 下 要 求 : 
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(1) 接收 方 B 产 生 密 钥 对 (公开 钥 PKs 和 秘密 钥 SKs) 是 计算 上 容易 的 。 
(2) 发 方 A 用 收 方 的 公开 钥 对 消息 m 加 密 以 产生 密 文 c, 即 


c= mLm] 
在 计算 上 是 容易 的 。 
(3) 收 方 B 用 自己 的 秘密 钥 对 c 解密 , 即 
m= sks Lc] 


在 计算 上 是 容易 的 。 

(4) 敌手 由 B 的 公开 钥 PKs 求 秘密 钥 SKs 在 计算 上 是 不 可 行 的 。 

(5) 敌手 由 密 文 c 和 B 的 公开 钥 PKs 恢复 明文 m 在 计算 上 是 不 可 行 的 。 

(6) 加 、 解 密 次 序 可 换 , 即 

Pke[ sk (72)] a ske[ prs (72) ] 

其 中 最 后 一 条 虽然 非常 有 用 ,但 不 是 对 所 有 的 算法 都 作 要 求 。 

以 上 要 求 的 本 质 之 处 在 于 要 求 一 个 陷 门 单 向 函数 。 单 向 函数 是 两 个 集合 XY 之 间 
的 一 个 映射 ,使 得 Y 中 每 一 元 素 y 都 有 了 唯一 的 一 个 原 像 zEX, 且 由 z 易 于 计算 它 的 像 y， 
由 y 计算 它 的 原 像 x 是 不 可 行 的 。 注 意 这 里 的 易于 计算 和 不 可 行 两 个 概念 与 计算 复杂 
性 理论 中 复杂 度 的 概念 极为 相似 ,然而 又 存在 着 本 质 的 区 别 。 在 复杂 性 理论 中 ,算法 的 复 
杂 度 是 以 算法 在 最 坏 情 况 或 平均 情况 时 的 复杂 度 来 度量 的 。 而 在 此 所 说 的 两 个 概念 是 指 
算法 在 几乎 所 有 情况 下 的 情形 。 称 一 个 函数 是 陷 门 单 向 函数 ,是 指 该 函数 是 易于 计算 的 ， 
但 求 它 的 着 是 不 可 行 的 ,除非 再 已 知 某 些 附加 信息 。 当 附加 信息 给 定 后 , 求 逆 可 在 多 项 式 
时 间 完 成 。 总 结 为 : 陷 门 单 向 函数 是 一 族 可 逆 函 数 fi ,满足 

(1) 当 已 知 有 和 XX 时 ,Y 二 fi(X) 易 于 计算 。 

(2) 当 已 知 有 & 和 YY 时 ,X=fr1(Y) 易 于 计算 。 

(3) 当 已 知 立 但 未 知 & 时 , 求 X= 广 !(Y) 是 计算 上 是 不 可 行 的 。 

因此 ,研究 公 钥 密码 算法 就 是 要 找 出 合适 的 陷 门 单 向 函数 。 


423 对 公 钥 密码 体制 的 攻击 


和 单 钥 密码 体制 一 样 , 如 果 密 钥 太 短 , 公 钥 密码 体制 也 易 受 到 穷 搜索 攻击 。 因 此 密 
钥 必 须 足够 长 才能 抗击 穷 搜 索 攻击 。 然 而 又 由 于 公 钥 密码 体制 所 使 用 的 可 逆 函 数 的 
计算 复杂 性 与 密 钥 长 度 常常 不 是 呈 线 性 关系 ,而 是 增 大 得 更 快 。 所 以 密 钥 长 度 太 大 又 
会 使 得 加 解密 运算 太 慢 而 不 实用 。 因 此 公 钥 密码 体制 目前 主要 用 于 密 钥 管理 和 数字 
签字 。 

对 公 钥 密码 算法 的 第 二 种 攻击 法 是 寻找 从 公开 钥 计 算 秘 密 钥 的 方法 。 到 目前 为 止 ， 
对 常用 公 钥 算法 还 都 未 能 够 证 明 这 种 攻击 是 不 可 行 的 。 

还 有 一 种 仅 适 用 于 对 公 钥 密码 算法 的 攻击 法 , 称 为 可 能 字 攻 击 。 例 如 ,对 56 比特 的 
DES 密 钥 用 公 钥 密码 算法 加 密 后 发 送 , 敌 手 用 算法 的 公开 钥 对 所 有 可 能 的 密 钥 加 密 后 与 
截获 的 密 文 相 比较 。 如 果 一 样 , 则 相应 的 明文 即 DES 密 钥 就 被 找 出 。 因 此 不 管 公 钥 算法 
的 密 钥 多 长 ,这 种 攻击 的 本 质 是 对 56 比特 DES 密 钥 的 穷 搜 索 攻 击 。 抵 抗 方法 是 在 欲 发 
送 的 明文 消息 后 添加 一 些 随 机 比特 。 

?11 


am 第 4 章 公 钥 客 码 mm 


ds RSA 算法 





RSA 算法 是 1978 年 由 R. Rivest、A. Shamir 和 L. Adleman 提出 的 一 种 用 数论 构造 
的 、 也 是 迄今 为 止 理论 上 最 为 成 熟 完善 的 公 钥 密 码 体 制 ,该 体制 已 得 到 广泛 的 应 用 。 


43.1 算法 描述 


1. 密 钥 的 产生 

(1) 选 两 个 保密 的 大 素数 p 和 g; 

(2) 计算 n=pXgp(m)= 二 (p 一 1)(g 一 1), 其 中 p(w) 是 nn 的 欧 拉 函数 值 ; 
(3) 选 一 整数 e, 满 足 1 二 e<<p(z) , 且 gcdCp(z) ,e) 一 1; 

(4) 计算 d ,满足 








de 二 1 mod y(n) 
即 d 是 e 在 模 p(z) 下 的 乘法 逆 元 , 因 。 与 9g(n) 互 素 ,由 模 运 算 可 知 , 它 的 乘法 道 元 一 定 
存在 ; 
(5) 以 {e,n) 为 公开 钥 ,{d,n) 为 秘密 钥 。 
2 加 密 
加 密 时 首先 将 明文 比特 串 分 组 ,使 得 每 个 分 组 对 应 的 十 进 制 数 小 于 n, 即 分 组 长 度 小 
于 logsn。 然 后 对 每 个 明文 分 组 m, 作 加 密 运 算 : 


Cc 三 m’ mod 7 


3. 解密 
对 密 文 分 组 的 解密 运算 为 : 

m 二 co modn 
下 面 证 明 RSA 算法 中 解密 过 程 的 正确 性 。 
证 明 ”由 加 密 过 程 ,可 知 c 寺 mr mod n, 所 以 


cd modn 三 m” mod7 = 7 modn 
下 面 分 两 种 情况 讨论 。 
(1) m 与 n 互 素 , 则 由 Euler 定理 : 
mm” 二 1 modn, m”*® 二 1 modn, m”*" mmodn 


即 c” mod nm.。 
(2) gcd(m,n) 了 1, 先 看 gcdl(m,n) 二 1 的 含义 ,由 于 2 一 pg, 所 以 gcd(m,n) 二 1 意味 
着 m 不 是 p 的 倍数 也 不 是 g 的 倍数 。 因 此 gcd(m,n) 关 1 意味 着 m 是 p 的 倍数 或 g 的 倍 
数 , 不 妨 设 mn 二 tp ,其 中 + 为 一 个 正 整数 。 此 时 必 有 gcd(m,g) 二 1, 否 则 m 也 是 g 的 倍数 ， 
从 而 是 pg 的 倍数 ,与 m< xz 一 2d 矛盾 。 
由 gcd(m.g) 二 1 及 Euler 定理 得 
m”? 和 =]1 modg 
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所 以 
m”?®? =1 modg, [m’*??]"?=1modg, m’”" =1 modg 
因此 存在 一 个 整数 ~, 使 得 we 二 1 十 rq, 两边 同 乘 以 m= 二 tp 得 
mH 一 m+rtpg = m+trin 


即 mx* 中 1 二 m mod n, 所 以 ce mod n 三 m。 
【 例 4-26】 选 p==7,g 二 17。 求 n 二 pXg==119,9() 二 (p 一 1)(g 一 1) 二 96。 取 e 二 5, 满 
是 1 二 e 过 gln), 且 gcd(y(n),e) 二 1。 确 定 满足 4，e==1 mod 96 且 小 于 96 的 d, 因 为 77X5= 
385 二 4X96 十 1, 所 以 d 为 77, 因 此 公开 钥 为 {5,119) ,秘密 钥 为 {77,119)。 设 明文 m= 二 19, 则 
由 加 密 过 程 得 密 文 为 : 
c=19 mod 119 = 2476099 mod 119 = 66 











解密 为 : 
66” mod 119 三 19 

【 例 4-27〗 设 "一 5515596313 一 71593。77041,e 一 1757316971 ,满足 1 一 e<<p(z) , 且 
gcd(g(n) ,e) 二 1。 确 定 d=e (mod (71593 一 1)(77041 一 1)) 圭 2674607171。 又 设 待 加 
密 的 消息 是 “Please wait for me”。 为 了 对 消息 加 密 , 首 先 将 消息 的 每 一 字母 转换 为 两 位 
十 进 制 数 字 , 设 转换 关系 由 表 4-5 给 出 。 得 明文 为 

m=161205011905002301092000061518001305 
表 4-5 英文 字母 和 二 位 十 进 制 数 的 对 应 关系 


字母 ses a b 9 d 和 f g h i j k 1 m 





数字 00 |01|02|03|04|05 |o0 |o07|o08|o09 |10|11|12|13 








字母 n 0 p q r s t u v w x y 也 















































数字 14 15 16 17 18 19 20 21 22 23 24 25 26 


将 明文 分 成 4 个 分 组 ,最 后 一 个 分 组 的 右 端 补 0, 得 
m= (msm2 msm) = (1612050119 0500230109 2000061518 0013050000) 
计算 密 文 分 组 得 : 
cl 1612050119'""316%71 == 763222127(mod 5515596313) 
cz 0500230109'""3169%71 = ]991534528(mod 5515596313) 
cs 三 2000061518'""3169%71 = 74882553(mod 5515596313) 
ci 三 001305000015731671 == 3895624854(mod 5515596313) 
得 到 密 文 为 : 
< 一 (clyczycayci) = (763222127,1991534528,74882553,3895624854) 
解密 : 
m1 三 7632221272740771 = 1612050119(mod 5515596313) 
m2 = 19915345282574607171 = 500230109(mod 5515596313) 
ms = 74882553257460771 = 2000061518(mod 5515596313) 
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ms = 3895624854267460771 = 13050000(mod 5515596313) 
给 第 一 和 第 三 个 分 组 补 0, 得 明文 为 : 
m= (mm ,7723 ,7724 ) = (1612050119,0500230109,2000061518,0013050000) 
再 由 表 4-5, 得 消息 为 Please wait for me。 


432 RSA 算 法 中 的 计算 问题 


1. 加 密 和 解密 

RSA 的 加 密 和 解密 过 程 都 为 求 一 个 整数 的 整数 次 寡 , 再 取 模 。 如 果 按 其 含义 直接 计 
算 , 则 中 间 结 果 非 常 大 ,有 可 能 超出 计算 机 所 允许 的 整数 取 值 范围 。 如 上 例 中 解密 运算 
66"mod 119 , 先 求 667 再 取 模 , 则 中 间 结 果 就 已 远 远 超出 了 计算 机 人 允许 的 整数 取 值 范 围 。 
而 用 模 运 算 的 性 质 : 

(axbmodn= [(a modn) Xx (b modn)]modn 

就 可 减 小 中 间 结 果 。 

再 者 ,考虑 如 何 提高 加 密 和 解密 运算 中 指数 运算 的 有 效 性 。 例 如 求 z*” ,直接 计算 的 
话 需 做 15 次 乘法 。 然 而 如 果 重 复 对 每 个 部 分 结果 做 平方 运算 , 即 求 zz zz , 则 
只 需 做 4 次 乘法 。 

一 般 , 求 a” 可 如 下 进行 ,其 中 ,a、m 是 正 整数 

将 m 表示 为 二 进 制 形式 65.5;-1…bo, 即 

m 二 br2* 十 bei12 和 十 … 十 b12 十 bo 











因此 
am 一 (el ( (a% )2aor ) ae )2 ea )2a 
例如 ,19 王 1X24 十 0X23 十 0X22 十 1X2 十 1X22, 所 以 


al 一 Cta ar year yat )?a! 


可 得 以 下 快速 指数 算法 : 
c=0 dl 
for i=k dommnto0 oo { 
2Xc; 
cd GX Amdn; 
if h=1 then { 
Cctl 
dF (Xamdn 
} 
3 
retum d. 


其 中 以 是 中 间 结 果 ,d 的 终 值 即 为 所 求 结 果 。c 在 这 里 的 作用 是 表示 指数 的 部 分 结果 ,其 
终 值 即 为 指数 m,c 对 计算 结果 无 任何 贡献 ,算法 中 完全 可 将 之 去 掉 。 
【 例 4-28】 求 75 mod 561 。 
将 560 表示 为 1000110000 ,算法 的 中 间 结 果 如 表 4-6 所 示 。 
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表 4-6 快速 指数 算法 示例 


i 8 LA 6 5 4 3 2 1 0 


9 
b; 和 0 0 0 1 1 0 0 0 0 
兴 0 1 2 4 8 17 35 70 140 280 560 
d 1 7 49 157 526 160 241 298 166 67 ， 


所 以 7% mod 561 王 1。 


2 密 钥 的 产生 

产生 密 钥 时 ,需要 考虑 两 个 大 素数 pg 的 选取 ,以 及 e 的 选取 和 4 的 计算 。 

因为 n=pg 在 体制 中 是 公开 的 ,因此 为 了 防止 敌手 通过 穷 搜索 发 现 pq, 这 两 个 素数 
应 是 在 一 个 足够 大 的 整数 集合 中 选取 的 大 数 。 如 果 选 取 和 4 为 10 台 左右 的 大 素数 , 那 
么 的 阶 为 10”, 每 个 明文 分 组 可 以 含有 664 位 (1029 和 2ss4) , 即 83 个 8 比特 字 节 ,这 比 
DES 的 数据 分 组 (8 个 8 比特 字 节 ) 大 得 多 ,这 时 就 能 看 出 RSA 算法 的 优越 性 了 。 因 此 如 
何 有 效 地 寻找 大 素数 是 第 一 个 需要 解决 的 问题 。 

寻找 大 素数 时 一 般 是 先 随机 选取 一 个 大 的 奇数 (如 用 伪 随 机 数 产生 器 ) ,然后 用 素性 
检验 算法 检验 这 一 奇数 是 否 为 素数 ,如 果 不 是 , 则 选取 另 一 大 奇数 ,重复 这 一 过 程 , 直 到 找 
到 素数 为 止 。 可 见 寻找 大 素数 是 一 个 比较 烦琐 的 工作 。 然 而 在 RSA 体制 中 ,只 有 在 产生 
新 密 钥 时 才 需 执行 这 一 工作 。 

决定 了 p 和 g 之 后 ,下 一 个 需要 解决 的 问题 是 如 何 选取 满足 1 二 e<p(0D 和 gcd(p(z) ,e) 一 
1 的 e, 并 计算 满足 gd . e 反 1 mod g(x) 的 d。 这 一 问题 可 由 推广 的 Euclid 算法 完成 。 


433 一 种 改进 的 RSA 实 现 方法 


利用 中 国 剩 余 定理 ,可 极 大 地 提高 解密 运算 的 速度 。 方 法 如 下 : 解密 方 计算 
d» 三 d mod (p—1),.d, 三 d mod (g—1) 


my 三 c% mod pms 三 ch modg 








由 中 国 剩余 定理 , 解 











I cp mod pc mod pp 三 m modp 








nm 三 ch mod gq 三 co mod gq 三 m modg 





即 得 m。 

已 证 明 , 如 果 不 考虑 中 国 剩余 定理 的 计算 代价 , 则 改进 后 的 解密 运算 速度 是 原 解 密 运 
算 速度 的 4 倍 。 若 考虑 中 国 剩余 定 理 的 计算 代价 , 则 改进 后 的 解密 运算 速度 分 别 是 原 解 
密 运算 速度 的 3. 24 倍 ( 模 为 768 比特 时 )、3. 32 倍 ( 模 为 1024 比特 时 )、3. 47 倍 ( 模 为 
2048 比特 时 ) 。 


434 RSA 的 安全 性 


RSA 的 安全 性 是 基于 分 解 大 整数 的 困难 性 假定 ,之 所 以 为 假定 是 因为 至 今 还 未 能 证 

明 分 解 大 整数 就 是 NP 问题 ,也 许 有 尚未 发 现 的 多 项 式 时 间 分 解 算 法 。 如 果 RSA 的 模 

数 n 被 成 功 地 分 解 为 p Xg, 则 立即 获得 g(n) 二 (p 一 1)(g 一 1) ,从 而 能 够 确定 e 模 gp(n) 的 
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乘法 道 元 &, 即 4d 三 e : mod p(z) ,因此 攻击 成 功 。 

随 着 人 类 计算 能 力 的 不 断 提高 ,原来 被 认为 是 不 可 能 分 解 的 大 数 已 被 成 功 分 解 。 例 
如 ,RSA-129( 即 为 129 位 十 进 制 数 ,大 约 428 比特 ) 已 在 网 络 上 通过 分 布 式 计 算 历 时 
8 个 月 于 1994 年 4 月 被 成 功 分 解 ,RSA-130 已 于 1996 年 4 月 被 成 功 分 解 ,RSA-140 已 于 
1999 年 2 月 被 成 功 分 解 ,RSA-155(512 比特 ) 已 于 1999 年 8 月 被 成 功 分 解 ,得 到 了 两 
个 78 位 (十 进 制 ) 的 素数 。 

对 于 大 整数 的 威胁 除了 人 类 的 计算 能 力 外 ,还 来 自分 解 算法 的 进一步 改进 。 分 解 算 
法 过 去 都 采用 二 次 筛 法 ,如 对 RSA-129 的 分 解 。 而 对 RSA-130 的 分 解 则 采用 了 一 个 新 
算法 , 称 为 推广 的 数 域 得 法 ,该 算法 在 分 解 RSA-130 时 所 做 的 计算 仅 比分 解 RSA-129 多 
10% ,对 RSA-140 和 RSA-155 的 分 解 , 也 采用 的 是 推广 的 数 域 筛 法。 将 来 也 可 能 还 有 更 
好 的 分 解 算法 ,因此 在 使 用 RSA 算法 时 对 其 密 钥 的 选取 要 特别 注意 其 大 小 。 估 计 在 未 来 
一 段 比较 长 的 时 期 , 密 钥 长 度 介 于 1024 一 2048 比特 之 间 的 RSA 是 安全 的 。 

是 否 有 不 通过 分 解 大 整数 的 其 他 攻击 途径 ? 下 面 证 明 由 7 直接 确定 p(z) 等 价 于 
对 的 分 解 。 

设 n==pXg 中 ,pq; 由 p02) 二 (p 一 1)(q 一 1), 有 

户 十 g 王 7 一 2(2) 十 1 

以 及 














p—g (p+q): —4dn [n— pg) 十 1 一 47 
由 此 可 得 ， 


一 也 [Co 十 + 一 9)] 


q= 直 [Cp+ (pg)] 
所 以 ,由 pg 确定 g(r) 和 由 gn) 确定 pg 是 等 价 的 。 
为 保证 算法 的 安全 性 ,还 对 p 和 g 提出 以 下 要 求 : 
(1) |p 一 gl 要 大 。 
(p+tg)’ 
由 4 











n 


2 i 2 i 2 
外 于 -一 pg 一 外 -如果 |p 一 g1 小 , 则 中 了 呈 - 也 小 ,因此 


5 二 入- 稍 大 于 n, 寻 49 稍 大 于 Vn。 可 得 的 如 下 分 解法 : 


@ 顺序 检查 大 于 Vn 的 每 一 整数 zx, 直到 找到 一 个 xz 使 得 zx? 一 n 是 某 一 整数 ( 记 为 y) 
的 平方 。 

@ 由 xz? 一 n= 二 y* ,得 n= 二 (xz 十 y) (zx 一 y)。 

(2) p 一 1 和 4 一 1 都 应 有 大 素 因 子 。 

这 是 因为 RSA 算法 存在 着 可 能 的 重复 加 密 攻 击 法 。 设 攻击 者 截获 密 文 c, 可 如 下 进 
行 重复 加 密 : 








em) 三 me (modn) 
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2 2 3 

A od 
rr 

co 三 (m) 三 12 (modn) 
3 下 rl 

c 三 (22) 二 mm’ (modn) 


车 me =c(mod nn) , 即 (m*)* 圭 c(mod n), 则 有 mm 三 m(mod nn), 即 c 三 m(mod n), 所 
以 在 上 述 重 复 加 密 的 倒数 第 2 步 就 已 恢复 出 明文 m, 这 种 攻击 法 只 有 在 1 较 小 时 才 是 可 
行 的 。 为 抵抗 这 种 攻击 ,pg 的 选取 应 保证 使 : 很 大 。 

设 mm 在 模 n 下 阶 为 k, 由 m’ =m(mod n) 得 m*-!=1(mod nn) ,所 以 有 |(e 一 1), 即 
e 三 1(mod &) ,t 取 为 满足 上 式 的 最 小 值 (为 e 在 模 & 下 的 阶 )。 又 当 。 与 & 互 素 时 ti p(k)。 
为 使 大 ,k 就 应 大 且 p(k) 应 有 大 的 素 因 子 。 又 由 kipln), 所 以 为 使 k 大 ,p 一 1 和 g 一 1 
都 应 有 大 的 素 因 子 。 

此 外 ,研究 结果 表明 ,如 果 en 且 d 一己 , 则 坟 能 被 容易 地 确定 。 


435 对 RSA 的 攻击 


RSA 存在 以 下 两 种 攻击 ,并 不 是 因为 算法 本 身 存在 缺陷 ,而 是 由 于 参数 选择 不 当 造 
成 的 。 
1. 共 模 攻击 
在 实现 RSA 时 ,为 方便 ,我 们 可 能 给 每 一 用 户 相同 的 模 数 ,虽然 加 解密 密 钥 不 同 ， 
然而 这 样 做 是 不 行 的 。 
设 两 个 用 户 的 公开 钥 分 别 为 e 和 es. 且 ei 和 es 互 素 (一 般 情况 都 成 立 ) ,明文 消息 是 
m, 密 文 分 别 是 
a 三 mi (modn) 
cz 三 7 (mod n) 
敌手 截获 c 和 cs 后 ,可 如 下 恢复 mx。 用 推广 的 Euclid 算法 求 出 满足 
el 十 sz 一 1 
的 两 个 整数 和 ,其 中 一 个 为 负 , 设 为 >。 再 次 用 推广 的 Euclid 算法 求 出 cr ,由 此 得 


(cr ) "cm(mod 2) 。 


2 低 指 数 攻 击 
假定 将 RSA 算法 同时 用 于 多 个 用 户 (为 讨论 方便 ,以 下 假定 3 个 ) ,然而 每 个 用 户 
的 加 密 指 数 ( 即 公开 钥 ) 都 很 小 。 设 3 个 用 户 的 模 数 分 别 为 n;(i 二 1,2,3), 当 ij 时 ， 
gcdGa 7) 一 1 ,否则 通过 gcd(ni,n;) 有 可 能 得 出 n; 入 的 分 解 。 设 明文 消息 是 mr, 密 
文 分 别 是 
dm (modm) 
ca = mi (mod n,) 
cS=m’ (mod ns) 
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由 中 国 剩余 定理 可 求 出 ze (mod mnzns)。 由 于 mr 二 mnzns, 可 直接 由 wm? 开 立 方 根 
得 到 m。 


4.4 ”背包 密码 体制 





设 A==(al,as，…,a,) 是 由 个 不 同 的 正 整 数 构成 的 n 元 组 ,s 是 另 一 已 知 的 正 整数 。 
背包 问题 就 是 从 4 中 求 出 所 有 的 a;, 使 其 和 等 于 s。 其 中 4 称 为 背包 向 量 ,s 是 背包 的 
容积 。 

例如 A=(43,129,215,473,903,302,561,1165,697,1523),s 二 3231。 由 于 

3231 二 129 十 473 十 903 十 561 十 1165 
所 以 从 4 中 找 出 的 满足 要 求 的 数 有 129、473、903、561、1165。 

从 原则 上 讲 , 通 过 检查 4 的 所 有 子 集 ,总 可 找 出 问题 的 解 ( 如 果 有 解 的 话 )。 本 例 
A 的 子 集 共 有 2" 二 1024 个 (包括 空 集 )。 然 而 如 果 4 中 元 素 个 数 n 很 大 , 子 集 个 数 2" 将 
非常 大 。 如 A 中 有 300 个 元 素 ,4 的 子 集 有 2*”。 寻 找 满足 要 求 的 A 的 子 集 没有 比 穷 搜 
索 更 好 的 算法 ,因此 背包 问题 是 NPC 问题 。 

由 背包 问题 构造 公 钥 密 码 体制 同样 是 要 构造 一 个 单 向 函数 了 ,将 xz(1 二 x 二 2" 一 1) 写 
成 长 为 nn 的 二 元 表示 0…001,0…010,0…011,…,1…111, f(x) 定义 为 4 中 所 有 a; 的 和 ， 
其 中 z 的 二 元 表示 的 第 i 位 为 1, 即 

f(1) = 7C0…001) 一 ww 
fC2) = F(0…010) = an 
fC3) = 7(0…011) = ai 十 ww 


fl2°—1) = (1…111) 一 a 十 aa 十 … 十 ww 
使 用 向 量 乘 ,有 f(x) 二 A，B, ,其 中 B, 是 将 xz 的 二 元 表示 写成 的 列 向 量 。 
上 例 中 f(364)= 二 (0101101100) 一 129 十 473 十 903 十 561 十 1165 一 3231 ,类似 地 可 
求 出 
f(609) = 2942， f(686) = 3584， f(32)= 903, (46) = 3326 
fC128) = 215, f(261) = 2817, f(44) = 2629, f(648) = 819 
由 了 的 定义 可 见 , 已 知 z 很 容易 求 f(x), 但 已 知 f(z) 求 xz 就 是 要 解 背包 问题 。 当 然 
在 实际 应 用 中 ,n 不 能 太 小 ,比如 说 ,至 少 为 200。 
用 f 对 明文 消息 m 加 密 时 ,首先 将 m 写成 二 元 表示 ,再 将 其 分 为 长 为 n 的 分 组 (最 后 
一 个 分 组 不 够 长 的 话 , 可 在 后 面 填充 一 些 0) ,然后 求 每 一 分 组 的 函数 值 ,以 函数 值 作为 密 
文 分 组 。 
例如 ,明文 消息 是 英文 文本 , 则 可 将 每 个 字母 用 其 在 字母 表 中 的 序号 表示 ,再 将 该 序 
号 转换 为 二 进 制 形式 (5 位 即 可 ) ,如 表 4-7 所 示 , 其 中 符号 _ 表 示 空 格 。 
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表 4-7 英文 字母 表 及 字母 的 二 进 制 表示 





























字 母 | 序号 | 二 进 制 | 字 母 | 序 号 | 二 进 制 | 字母 | 序 号 | 二 进 制 
二 0 00000 L 9 01001 R 18 10010 
A 1 00001 J 10 01010 S 19 10011 
B 2 00010 K 11 01011 T 20 10100 
© 3 00011 E 12 01100 U 21 10101 
D 4 00100 M 13 01101 V 22 10110 
E 5 00101 N 14 01110 WwW 23 10111 
F 6 00110 0 15 01111 X 24 11000 
G 00111 Pp 16 10000 区 25 11001 
H 8 01000 Q Ey 10001 Z 26 11010 
































背包 向 量 仍 取 上 例 中 的 4, 设 待 加 密 的 明文 是 SAUNA AND HEALTH。 因 为 4 长 
为 10, 所 以 应 将 明文 分 成 长 为 10 比特 ( 即 两 个 明文 字母 ) 的 分 组 
SA,UN,A ,AN,D.,HE,AL,TH 
相应 的 二 元 序列 为 
1001100001， 1010101110, 0000100000, 0000101110 
0010000000， 0100000101， 0000101100， 1010001000 
分 别 对 以 上 二 元 序列 作用 于 函数 了 ,得 密 文 为 
(2942,3584,903,3326,215,2817.2629,819) 
解密 运算 分 别 以 每 一 密 文 分 组 作为 背包 容积 , 求 背包 问题 的 解 。 为 使 接收 方 能 够 解 
密 , 就 需 找 出 单 向 函数 f(z) 的 陷 门 。 为 此 需 引 入 一 种 特殊 类 型 的 背包 向 量 。 
定义 4-11 背包 向 量 A 二 (ai ,as，,… ,a,) 称 为 超 递增 的 ,如 果 
a> Da 了 一 2，… on 
超 递增 背包 向 量 对 应 的 背包 问题 很 容易 通过 以 下 算法 ( 称 为 贪 禁 算 法 ) 求 解 。 
已 知 * 为 背包 容积 ,对 A 从 右 向 左 检查 每 一 元 素 ,以 确定 是 否 在 解 中 。 若 ;三 a , 则 
a 在 解 中 , 令 zx, 三 1; 车 5 过 a,, 则 a 不 在 解 中 , 令 xz, 二 0。 下 面 令 
EC 5 < an 


区 三 
5 一 ne， Ss 之 a 


对 a,-1 重 复 上 述 过 程 ,一 直下 去 ,直到 检查 出 w 是否 在 解 中 。 检 查 结束 后 得 x 一 (zizz… 
Xa),B,= (xx Ts) 


然而 ,敌手 如 果 也 知道 超 递增 背包 向 量 , 同 样 也 很 容易 解密 。 为 此 可 用 模 乘 对 4 进 
行 伪装 , 模 乘 的 模 数 & 和 乘 数 t 皆 取 为 常量 ,满足 二 > aisgcd(t,k) 二 1, 即 1 在 模 k& 下 
有 乘法 逆 元 。 设 


及 Et。aimodR 1 一 1.2.…,7 
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得 到 一 个 新 的 背包 向 量 B 二 (51,5;,…,b,), 记 为 B 三 1. A mod 上 ,用 户 以 B 作 为 自己 的 公 
开 钥 。 

【 例 4-29】 A = (1,3,5,11,21,44,87,175,349,701) 是 一 个 超 递 增 背 包 向 量 , 取 
k=1590,t 二 43,gcd(43,1590) = 二 1, 得 B= (43,129,215,473,903,302,561,1165,697， 
1523) 。 

在 得 到 B 后 ,对 明文 分 组 z= 二 (xix,…zx,) 的 加 密 运 算 为 

c= f(z)=B.B,=t.A.B,modk 

对 单 向 函数 f(x) ,tt ' 以 及 k 可 作为 其 秘密 的 陷 门 信息 , 即 解密 密 钥 。 解 密 时 首先 
由 s 寺 wc mod &, 求 出 s 作为 超 递增 背包 向 量 4 的 容积 ,再 解 背 包 问 题 即 得 z 一 (zizz… 
nn)。 这 是 因为 三:c mod RE 二 1LAB. mod 上 k 三 AB, mod 上 ,而 由 二 六 dj, 知 4B,. 一 人 ,所 


i=1 
以 三 lc mod 二 AB, ,是 唯一 的 。 

【 例 4-30】 接 例 4-29,4=(1,3,5,11,21,44,87,175,349,701) 是 一 个 超 递增 背包 向 
量 ,k 二 1590,t 二 43, 得 二 ! 圭 37 mod 1590, 设 用 户 收 到 的 密 文 是 (2942,3584,903,3326 ， 
215,2817,2629,819) ,由 
37 X 2942 三 734 mod 1590， 37 X 3584 三 638 mod 1590， 37 X 903 三 21 mod 1590， 
37X3326 二 632 mod 1590， 37X215 三 5 mod 1590， 37 X2817 三 879 mod 1590， 
37 X 2629 三 283 mod 1590， 37 X 819 三 93 mod 1590 
得 (734,638,21,632,5,879,283,93)。 取 s 二 734, 由 734 之 701, 得 zwo = 二 1; 令 s==734 一 701= 
33, 由 33 二 349, 得 zo 二 0; 重 复 该 过 程 得 第 一 个 明文 分 组 是 1001100001, 它 对 应 的 英文 文本 
是 SA; 类 似 地 ,得 其 他 明文 分 组 ,解密 结果 为 SAUNA AND HEALTH。 

背包 密码 体制 是 Diffie 和 Hellman 1976 年 提出 公 钥 密码 体制 的 设想 后 的 第 一 个 公 
钥 密码 体制 ,由 Merkle 和 Hellman 1978 年 提出 。 然 而 又 过 了 两 年 该 体制 即 被 破译 ,破译 
的 基本 思想 是 不 必 找 出 正确 的 模 数 & 和 乘 数 +:( 即 陷 门 信息 ) ,只 需 找 出 任意 模 数 必 和 乘 数 
二 ,使 得 用 k' 和 +" 去 乘 公 开 的 背包 向 量 B 时 ,能 够 产生 超 递 增 的 背包 向 量 即 可 。 


i Rabin 密码 体制 





对 RSA 密码 体制 ,n 被 分 解 成 功 ,该 体制 便 被 破译 , 即 破译 RSA 的 难度 不 超过 大 整 
数 的 分 解 。 但 还 不 能 证 明 破 译 RSA 和 分 解 大 整数 是 等 价 的 ,虽然 这 一 结论 已 得 到 普遍 共 
识 。Rabin 密码 体制 已 被 证 明 对 该 体制 的 破译 与 分 解 大 整数 是 一 样 困难 的 。 

Rabin 密码 体制 是 对 RSA 的 一 种 修正 , 它 有 以 下 两 个 特点 : 

。 它 不 是 以 一 一 对 应 的 单 向 陷 门 函数 为 基础 ,对 同一 密 文 ,可 能 有 两 个 以 上 对 应 的 

明文 。 

。 破译 该 体制 等 价 于 对 大 整数 的 分 解 。 

RSA 中 选取 的 公开 钥 e 满足 1 二 e<p(z) , 且 gcd(e,g(n)) 一 1。Rabin 密码 体制 
则 取 e 王 2。 
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1. 密 钥 的 产生 
随机 选择 两 个 大 素数 p、g, 满 足 p 圭 g 寺 3 mod 4, 即 这 两 个 素数 形式 为 4 十 3; 计 算 
n 王 pXg。 以 nn 作为 公开 钥 ,pg 作为 秘密 钥 。 


2 加 密 
cm’: mod n 


其 中 mm 是 明文 分 组 ,c 是 对 应 的 密 文 分 组 。 


3. 解密 
解密 就 是 求 c 模 的 平方 根 , 即 解 xz? 圭 c mod n, 该 方程 等 价 于 方程 组 (证 明 见 本 节 附 
录 ) 
2 =mdp 
人 三 c mod d 
由 于 p 三 g 二 3 mod 4, 下 面 将 看 到 ,方程 组 的 解 可 容易 地 求 出 ,其 中 每 个 方程 都 有 两 个 
解 , 即 
TX 三 y mod p, X=—ymodp 
xX 三 z modg, x=—zmodg 
经 过 组 合 可 得 4 个 同 余 方 程 组 
TX 三 y modp,， (Xz 三 y modp 
EE 三 < mod q， | = 
XxX 三 -ymodp, (z=—ymodp 
| 人 
由 中 国 剩余 定理 可 解 出 每 一 方程 组 的 解 ,共有 4 个 , 即 每 一 密 文 对 应 的 明文 不 唯一 。 为 了 
有 效 地 确定 明文 ,可 在 m 中 加 入 某 些 信 息 , 如 发 送 者 的 身份 号 ,接收 者 的 身份 号 ,日 期 \ 时 
间 等 。 
下 面 证 明 , 当 p 夺 gq 三 3 mod 4 时 ,两 个 方程 
Xz 三 c mod p, Xx:=c modg 


的 平方 根 都 可 容易 地 求 出 。 
由 p 二 3 mod 4 得 ,2 十 1 一 似 , 即 十 (十 1) 是 一 个 整数 。 因 c 是 模 pp 的 平方 剩余 , 故 


区 


(全 5 











p 
设 z? 圭 c mod p 的 根 为 y, 即 y’ 圭 c mod p; 则 
(和 二 Gy 和 ?二 (yD) 竺 二 (从 二 cD? ,c=c modp 
所 以 c 守 和 p 一 c 舍 是 方程 x 二 c mod p 的 两 个 根 。 同 理 ,c 守 和 g 一 c 守 是 方程 x? 寺 c mod 
d 的 两 个 根 。 


由 4. 1. 10 节 知 , 当 p 寺 gq 三 3 mod 4 时 ,求解 方程 x* 寺 a mod 7 与 分 解 n 是 等 价 的 ,所 
以 破译 Rabin 密码 体制 的 困难 程度 等 价 于 大 整数 的 分 解 。 
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附录 设 pg 是 素数 ,n 二 pXg. 则 a 寺 b mod "等 价 于 | 一 mo Pp 
a=b mod g 
as 所 mod p 


; 则 pl (la 一 6) ,gl (a 一 5) .而 gcd(p,g) 二 1, 所 以 pgl (a 一 5), 即 
a=b mod g 


证 明 才 | 
a 二 b mod pq。 

反之 ,车 4 三 5 mod ny 则 nl(a 一 6), 由 pln,gln, 得 pl(a 一 b),g| (a 一 6b)， 
上 [3 modp 


a=b mod g* 


46 ”NTRU 公 钥 密码 系统 





NTRU 是 一 种 基于 环 的 公 钥 密码 系统 ,由 Jeffrey Hoffstein 等 人 在 1998 年 提出 , 系 
统 的 特点 是 密 钥 短 上 且 容易 产生 、 算 法 的 运算 速度 快 .所 需 的 存储 空间 小 。 
系统 建立 在 整 系数 多 项 式 环 上 。 设 尺 表示 最 高 次 数 不 超 过 N 一 1 的 所 有 整 系数 多 项 
式 集合 , 设 
a 二 ao 十 az 十 "… 二 aniz™! ，6b6= bbz 二 + +bnizx™! 
是 RR 上 的 两 个 元 素 ,R 上 的 加 法 定义 为 : 
Q& 十 0 一 (ao 十 加) 十 (ai 十 加 ) 垃 十 … 十 (ai 十 DA)zN1 


乘法 定义 为 ， 








Q xD 一 co 十 cizr 十 … 十 cwizN 1 


其 中 人 阶 系数 cx 为 : 


Ck = aobr tabei 十 … 十 ao 十 atHON-l 二 arrzbN-z 十 … 十 QN-Iptl 一 2 aibj 
计 j 二 人 mod N) 
容易 验证 R 在 以 上 定义 的 加 法 运算 和 乘法 运算 下 构成 一 个 环 。 
1 算法 的 参数 


参数 包括 3 个 整数 (N.,p.q) 和 4 个 次 数 为 N 一 1 的 整 系数 多 项 式 集合 二 ,Le ,Ly， 
Lm,， 其 中 p 和 g 不 要 求 是 素数 ,但 满足 gcd(p,q) 二 1 且 g 大 于 p。 


2 密 钥 的 产生 

密 钥 的 产生 由 接收 方 完成 : 随机 选取 两 个 多 项 式 f,g EL, 其 中 多 项 式 了 在 模 g 和 
模 p 下 均 可 逆 , 其 逆 元 分 别 表示 为 F, 和 F,, 即 : Fx* f 寺 1(mod g) 和 F, * f 二 1(mod p)。 
计算 三 F, x g(mod gq) ,以 有 作为 公开 钥 ,f 作为 秘密 钥 , 接 方 同时 还 需 保存 PP 。 

3. 加 密 

设 发 送 方 欲 将 消息 mEL 发 送 给 接收 方 ,可 对 m 如 下 加 密 ; 随机 选取 多 项 式 %E 
Ls :用 公 钥 对 消息 进行 加 密 

ep$*hi+m(mod gq) 
将 e。 发 送 给 接收 方 。 
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4 解密 
接收 方 收 到 e 后 ,使 用 公开 钥 f 对 其 如 下 解密 。 
(1) 首先 计算 a 三 f * e(mod gq) ,a 的 系数 选 在 一 9/2 一 9/2 之 间 。 
(2) 将 a 作为 一 个 整 系数 多 项 式 ,计算 Ps, * a(mod p) 即 可 恢复 明文 m。 
解密 原理 : 
a 三 f*xe= fx*p$*hitf*m(modg) 

三 f*pp*F,*g+t+f*m(modg) 

三 pp*g+fx*xm(modg) 

三 pp *g+f*m 
最 后 一 步 是 由 于 若 选择 的 参数 合适 ,可 保证 多 项 式 p$ * g 十 f * m 的 系数 在 一 9/2 一 

qd/2 之 间 , 所 以 对 pp * g 十 f * m 模 g 运算 后 结果 不 变 。 

而 F, *aF, * pp * g++F,* fx*m(mod p)=m(mod p), 


4.7 ”椭圆 曲线 密码 体制 








4.3 节 已 经 说 过 ,为 保证 RSA 算法 的 安全 性 , 它 的 密 钥 长 度 需 一 再 增 大 ,使 得 它 的 运 
算 负担 越 来 越 大 。 相 比 之 下 ,椭圆 曲线 密码 体制 ECC(Elliptic Curve Cryptography) 可 用 
短 得 多 的 密 钥 获得 同样 的 安全 性 ,因此 具有 广泛 的 应 用 前 景 。ECC 已 被 IEEE 公 钥 密码 
标准 P1363 采用 。 


47.1 椭圆 曲线 


椭圆 曲线 并 非 椭 圆 ,之 所 以 称 其 为 椭圆 曲线 ,是 因为 它 的 曲线 方程 与 计算 椭圆 周 长 的 

方程 类 似 。 一 般 地 ,椭圆 曲线 的 曲线 方程 是 以 下 形式 的 三 次 方程 : 
y+aryt+by 一 妇 十 cz 十 dz 十 e (4-2) 

其 中 a.b、c.d、e 是 满足 某 些 简单 条 件 的 实数 。 定 义 中 包括 一 个 称 为 无 穷 远 点 的 元 素 , 记 
为 0O。 图 4-4 是 椭圆 曲线 的 两 个 例子 。 

从 图 可 见 ,椭圆 曲线 关于 z 轴 对 称 。 

椭圆 曲线 上 的 加 法 运算 定义 如 下 : 如 果 其 上 的 3 个 点 位 于 同一 直线 上 ,那么 它们 的 
和 为 O。 进 一 步 可 如 下 定义 椭圆 曲线 上 的 加 法 律 (加 法 法 则 ): 

(1) 0 为 加 法 单位 元 , 即 对 椭圆 曲线 上 任 一 点 P, 有 P 十 0O=P。 

(2) 设 Pi 二 (zx,y) 是 椭圆 曲线 上 的 一 点 ( 见 图 4-4), 它 的 加 法 逆 元 定义 为 P, 一 
—Pi=(zx,—y)。 

这 是 因为 Pi 、P; 的 连 线 延长 到 无 穷 远 时 .得 到 椭圆 曲线 上 的 另 一 点 0, 即 椭圆 曲线 
上 的 3 点 Pi、Ps、O 共 线 , 所 以 Pi 十 Ps 十 0==0,Pi 十 P, 一 0, 即 Ps 二 一 Pi。 

由 O+O=O, 还 可 得 O 王 一 O。 

(3) 设 Q 和 R 是 椭圆 曲线 上 xz 坐标 不 同 的 两 点 ,Q 十 R 的 定义 如 下 : 画 一 条 通过 Q、 
R 的 直线 ,与 椭圆 曲线 交 于 P (这 一 交点 是 唯一 的 ,除非 所 做 的 直线 是 Q 点 或 R 点 的 切 
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(a)JP=G-x (b+x+l 


4-4 椭圆 曲线 的 两 个 例子 





线 , 此 时 分 别 取 Pi 二 Q 和 Pi 一 R)。 由 Q 十 R 十 Pi 二 0, 得 Q 十 R= 一 Pi。 

(4) 点 Q 的 倍数 定义 如 下 : 在 QQ 点 做 椭圆 曲线 的 一 条 切线 , 设 切 线 与 椭圆 曲线 交 于 
点 5S, 定 义 2Q 一 Q 十 Q 二 一 S$。 类 似 地 ,可 定义 3Q 一 Q 十 Q 十 Q,…, 等 。 

以 上 定义 的 加 法 具有 加 法 运算 的 一 般 性 质 ,如 交换 律 、 结 合 律 等 。 


472 有 限 域 上 的 椭圆 曲线 


密码 中 普遍 采用 的 是 有 限 域 上 的 椭圆 曲线 ,有 限 域 上 的 椭圆 曲线 是 指 曲线 方程 定义 
式 (4-2) 中 ,所 有 系数 都 是 某 一 有 限 域 GF(p) 中 的 元 素 ( 其 中 p 为 一 个 大 素数 )。 其 中 最 
为 常用 的 是 由 方程 
y=x+artb (lab € GF(p),4a’ +270’ #0) (4-3) 
定义 的 曲线 。 
b 


3 2 
一 | 也 本 证 .3 性 We 
因为 A= (所 ] 十 (各) = 圳 Ce 上 270) 是 方程 己 二 az 二 0 0 的 判别 式 , 当 4a 十 


27 姑 一 0 时 ,方程 xz’? 十 ax 十 6 二 0 有 重 根 , 设 为 zx, 则 点 Q 二 (xo,0) 是 方程 交 一 习 十 az 十 0 
的 重 根 。 令 PC 一 闻 一 一 ex- 则 下 |。 一 总 |。 一 0, 所 以 名 一 一 续 / 王 在 Q, 点 
无 定义 , 即 曲线 y 寺 x 十 az 十 b 在 Qo 点 的 切线 无 定义 ,因此 点 Qu 的 倍 点 运算 无 定义 。 

例如 , 思 一 23,a 一 0 一 1,4c3 十 2752 一 8 天 0 方程 (4-3) 为 y* 三 xz’ 十 zx 十 1, 其 图 形 是 连续 
曲线 ,如 图 4-4(b) 所 示 。 然 而 我 们 感 兴趣 的 是 曲线 在 第 一 象限 中 的 整数 点 。 设 E, Ca ,0) 
表示 方程 (4-3) 所 定义 的 椭圆 曲线 上 的 点 集 { (xz,y)10 三 x 二 p,0 三 y 二 p, 且 x,y 均 为 整 
数 } 并 上 无 穷 远 点 O。 本 例 中 Ex (1,1) 由 表 4-8 给 出 , 表 中 未 给 出 O。 


表 4-8 椭圆 曲线 上 的 点 集 Ex (1,1) 





























(0, 1) (0, 22) | (1, 7) (1, 16) | (3, 10) | (3, 13) | (4, 0) (5, 4) (5, 19) 





(6, 4) ‘6, 19) | (7，11) | (7, 12) | (9, 7) ‘9, 16) | (11, 3) | (11, 20) | (12, 4) 





























(12, 19) | (13, 7) | (13, 16) | (17, 3) | (17, 20) | (18, 3) | (18, 20) | (19, 5) | (19, 18) 
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一 般 来 说 ,E, (a,5b) 由 以 下 方式 产生 : 

(1) 对 每 一 z(0 三 zp 且 z 为 整数 ) ,计算 xz? 二 az 十 b(mod p)。 

(2) 决定 (1) 中 求 得 的 值 在 模 p 下 是 否 有 平方 根 ,如 果 没 有 , 则 曲线 上 没有 与 这 一 z 
相对 应 的 点 。 如 果 有 , 则 求 出 两 个 平方 根 (y 二 0 时 只 有 一 个 平方 根 )。 

E,(a,b) 上 的 加 法 定义 如 下 : 

设 P,QEE,(a,b), 则 

(1) P 十 O=P。 

(2) 如 果 P= (zyy), 那 么 (z,y) 十 (z, 一 y) 王 0O, 即 (z, 一 y) 是 己 的 加 法 闭 元 ,表示 为 
—P。 

由 E, (a,5) 的 产生 方式 知 ,一 P 也 是 E, (a,6) 中 的 点 ,如 上 例 ,P= (13,7) € Ezs(1,1)， 

P==(13, 一 7), 而 一 7 mod 23 圭 16, 所 以 一 P=(13,16) ,也 在 Ess(1,1) 中 。 
(3) 设 P=(zi,y1),Q 二 (zs ,ys),P 关 一 Q, 则 P 十 Q== (zs,ys) 由 以 下 规则 确定 : 


zs 三 )2 一 2 一 zz(mod 力 ) 











3 三 A(z1— xz)— ymod p) 












































其 中 
yn, PAQ 
X22— Xl 
水 三 和 
2+e, p—Q 
2y 
【 例 4-31】 仍 以 Ezs(1,1) 为 例 , 设 P=(3,10),Q==(9,7), 则 
7—10_—3_—l 
A ; 11 mod 23 
za 一 112 一 3 一 9 一 109 三 17 mod 23 
ys = 11(3—17)—10 164 二 20 mod 23 
所 以 P+Q= (17,20) , 仍 为 Ezs(1,1) 中 的 点 。 
若 求 2P, 则 
3.3+1_5_1 
ee 


X==6:—3—3= 30 三 7 mod 23 
233 6(3—7) 一 各 34 12 mod 23 











所 以 2P=(7,12)。 

信和 点 运算 仍 定义 为 重复 加 法 ,如 4P==P 十 P 十 P 十 P。 

从 这 个 例子 可 以 看 出 ,加 法 运算 在 Ex (1,1) 中 是 封闭 的 , 且 能 验证 还 满足 交换 律 。 
对 一 般 已 (a,0) ,可 证 其 上 的 加 法 运算 是 封闭 的 、 满 足 交换 律 ,同样 还 能 证 明 其 上 的 加 法 
道 元 运算 也 是 封闭 的 ,所 以 E,(a.5) 是 一 个 Abel 群 。 

【 例 4-32】 已 知 y: 圭 x? 一 27x 一 3 是 系数 在 GF(7) 上 的 椭圆 曲线 ,P= 二 (3,2) 是 其 上 一 
点 ;于 10P。 

解 2P=PiP=(3,2) 十 (3,2)==(2,6) 

3P=P|2P=({3,0 256)=(4, 
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4P=P+3P=(3,2)+(4,2)=(0,5) 
5P=P+4P=(3,2)+(0,5)=(5.,0) 
6P=P+5P=(3,2)+(5,0)=(0,2) 
7P=P+6P=(3,2)+(0,2)=(4,5) 
8P=P++7P=(3,2)+(4,5)=(2,1) 
9P=P+8P=(3,2)+(2,1)=(3,5) 
10P=P+9P=(3,2)+(3,5)=0 


473 椭圆 曲线 上 的 点 数 


在 4.7.2 节 的 例子 中 ,GF(23) 上 的 椭圆 曲线 y 寺 x’ 十 zx 十 1 在 第 一 象限 中 的 整数 点 
加 无 穷 远 点 O 共有 28 个 。 一 般 有 以 下 定理 : 
定理 4-22 GF(p) 上 的 椭圆 曲线 y= 二 x 十 az 十 b(a,b5EGF(p),4a; 十 27B? 关 0) 在 第 
一 象限 中 的 整数 点 加 无 穷 远 点 O 共有 
1+p+ 2) 


xzEGF(p) 

个 ,其 中 是 Legendre 符号 。 
定理 中 的 es 由 以 下 定理 给 出 : 

定理 4-23(Hasse 定理 ) ”|e| 志 2Vp。 


【 例 4-33】〗 若 p==5, 则 |e| 三 4。 因此 GF(5) 上 的 椭圆 曲线 将 一 zs 十 az 十 和 上 的 点 数 
在 2 一 10 之 间 。 


474 ”明文 消息 到 椭圆 曲线 上 的 嵌入 


在 使 用 椭圆 曲线 构造 密码 体制 前 ,需要 将 明文 消息 镶嵌 到 椭圆 曲线 上 ,作为 椭圆 曲线 
上 的 点 。 设 明文 消息 是 m(0 三 m 三 MD ,椭圆 曲线 由 式 (4-2) 给 出 ,k 是 一 个 足够 大 的 整数 ， 
使 得 将 明文 消息 镶嵌 到 覃 圆 曲 线 上 时 ,错误 概率 是 2“*。 实 际 中 ,k 可 在 30 一 50 之 间 取 
值 。 下 面 取 k 二 30, 对 明文 消息 mw, 如 下 计算 一 系列 z; 

T= {mR 十 1 一 0,1,2,…} = {30m,30m+1,30m+2,.} 

直到 zx 十 ax 十 b(mod p) 是 平方 根 , 即 得 到 椭圆 曲线 上 的 点 (xz, Vz 二 az 十 6 )。 因 为 在 
0 一 p 的 整数 中 ,有 一 半 是 模 p 的 平方 剩余 , 另 一 半 是 模 p 的 非 平方 剩余 。 所 以 次 找到 
工 , 使 得 十 azt 十 bl(mod p) 是 平方 根 的 概率 不 小 于 1 一 2 一。 








3 
(E11+pte 


(= tarte] 
p 


反 过 来 ,为 了 从 椭圆 曲线 上 的 点 (z,y) 得 到 明文 消息 ,只 需求 m 一 | 订 0 

【 例 4-34】 设 椭 圆 曲 线 为 y= 二 zx 十 3z,p 二 4177,m 二 2174。 则 z={30*，2174 十 j,j 二 0， 
1,2,…}。 当 j==15 时 ,z 一 30。2174 十 15 一 65235,zs 十 3z 一 652353 十 3。65235 一 1444 mod 
4177 王 38: 。 所 以 得 到 椭圆 曲线 上 的 点 为 (65235,38)。 若 已 知 椭圆 曲线 上 的 点 (65235 ,38)， 























则 明文 消息 m=| se L2174. 5 片 2174。 
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475 椭圆 曲线 上 的 密码 


为 使 用 椭圆 曲线 构造 密码 体制 ,需要 找 出 椭圆 曲线 上 的 数学 困难 问题 。 

在 椭圆 曲线 构成 的 Abel 群 E,(a,5) 上 考虑 方程 Q==kP, 其 中 P,QEE,(a,b) ,kp， 
则 由 有 和 P 易 求 Q, 但 由 P.Q 求 & 则 是 困难 的 ,这 就 是 椭圆 曲线 上 的 离散 对 数 问题 ,可 应 
用 于 公 钥 密码 体制 。Diffie-Hellman 密 钥 交换 和 ElGamal 密码 体制 是 基于 有 限 域 上 离散 
对 数 问题 的 公 钥 体制 ,下 面 考虑 如 何 用 椭圆 曲线 来 实现 这 两 种 密码 体制 。 


1. Difie Hellman 密 钥 交 换 

首先 取 一 个 素数 p<*218 和 两 个 参数 gc.0, 则 得 方程 (4-2) 表 达 的 椭圆 曲线 及 其 上 面 的 
点 构成 的 Abel 群 已 (ab) 。 第 二 步 , 取 EE,(a,5) 的 一 个 生成 元 CCzl ,yi) ,要 求 G 的 阶 是 
一 个 非常 大 的 素数 ,G 的 阶 是 满足 zG=O 的 最 小 正 整数 n。E, (a,6b) 和 G 作为 公开 参数 。 

两 用 户 A 和 B 之 间 的 密 钥 交 换 如 下 进行 : 

(1) A 选 一 小 于 nn 的 整数 ns ,作为 秘密 钥 , 并 由 Ps 二 naG 产生 EE,(a,5) 上 的 一 点 作 


(2) B 类似 地 选取 自己 的 秘密 钥 ns 和 公开 钥 Ps; 

(3) A.B 分 别 由 KK=naPs 和 ==nsPa 产生 出 双方 共享 的 秘密 钥 。 

这 是 因为 K= 二 na Ps 二 na (ngsG) 二 ns(naG) 二 nsPa。 

攻击 者 若 想 获 取 开 , 则 必须 由 Pa 和 G 求 出 ns, 或 由 Ps 和 G 求 出 za, 即 需要 求 椭圆 
曲线 上 的 离散 对 数 , 因 此 是 不 可 行 的 。 

【 例 4-35】 p= 二 211,E, (C0, 一 4), 即 椭圆 曲线 为 y* 志 zx? 一 4,G 二 (2,2) 是 Eo (0, 一 4) 
的 阶 为 241 的 一 个 生成 元 , 即 241G= 二 OQ。A 的 秘密 钥 取 为 na 二 121, 公 开 钥 为 P= 
121(2,2) 二 (115,48)。B 的 秘密 钥 取 为 ns 二 203, 公 开 钥 为 Pa 一 203(2,2) 一 (130,203) 。 
由 此 得 到 的 共享 密 钥 为 121(130,203) 二 203(115,48) 二 (161,169), 即 共享 密 钥 是 一 对 
数 。 如 果 将 这 一 密 钥 用 作 单 钥 加 密 的 会 话 密 钥 , 则 可 简单 地 取 其 中 的 一 个 ,如 取 x 坐标 ， 
或 取 工 坐标 的 某 一 简单 函数 。 


2 日 Gamal 密码 体制 

其 密 钥 产 生 过 程 如 下 : 首先 选择 一 个 素数 p 以 及 两 个 小 于 p 的 随机 数 g 和 zz ,计算 y 
三 g” mod p。 以 (y,g,p) 作 为 公开 密 钥 ,x 作为 秘密 密 钥 。 

加 密 过 程 如 下 : 设 欲 加 密 明 文 消息 M, 随 机 选 一 与 p 一 1 互 素 的 整数 ,计算 Ci 三 g* 
mod p,C: 三 YM mod p, 密 文 为 C=(C ,C;)。 




















解密 过 程 如 下 : 
= 
M= Gr modp 
这 是 因为 
大 A 
Ca gdp YM Lodp a Mmodp 
Cf 8 了 


下 面 讨论 利用 椭圆 曲线 实现 EIGamal 密码 体制 。 
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首先 选取 一 条 椭圆 曲线 ,并 得 E,(a.5) ,将 明文 消息 mm 租 入 到 曲线 上 的 点 P, ,再 对 点 
P。 做 加 密 变换 。 

取 E,(a,5) 的 一 个 生成 元 G,E,(a.5b) 和 G 作为 公开 参数 。 

用 户 A 选 na 作为 秘密 钥 ,并 以 Ps 二 naG 作为 公开 钥 。 任 一 用 户 B 若 想 向 A 发 送 消 
息 P。, 可 选取 一 个 随机 正 整数 &, 产 生 以 下 点 对 作为 密 文 ， 

C. = {kG,P, + EPA} 
A 解密 时 ,以 密 文 点 对 中 的 第 二 个 点 减 去 用 自己 的 秘密 钥 与 第 一 个 点 的 倍 乘 , 即 
P+ kPa—nakG = P, 十 RCIAG) —nakG = P, 

攻击 者 若 想 由 Cw 得 到 P, ,就 必须 知道 k&。 而 要 得 到 ,只 有 通过 椭圆 曲线 上 的 两 个 
已 知 点 G 和 kG ,这 意味 着 必须 求 椭 圆 曲 线 上 的 离散 对 数 ,因此 不 可 行 。 

【 例 4-36】 取 p 二 751,E,( 一 1,188), 即 椭圆 曲线 为 y* 三 zx? 一 xz 十 188,E,( 一 1,188) 
的 一 个 生成 元 是 G==(0,376),A 的 公开 钥 为 Pa 二 (201,5)。 假 定 B 已 将 欲 发 往 A 的 消 
息 扯 入 到 椭圆 曲线 上 的 点 P, 二 (562,201),B 选取 随机 数 人 一 386, 由 AG 一 386(0,376 ) 一 
(676,558) ,P, 十 &PA 一 (562,201) 十 386(201,5) 一 (385,328) ,得 密 文 为 {(676,558) ， 
(385,328) } 。 

与 基于 有 限 域 上 离散 对 数 问题 的 公 钥 体制 (如 Diffie-Hellman 密 钥 交 换 和 ElGamal 
密码 体制 ) 相 比 ,椭圆 曲线 密码 体制 有 以 下 优点 : 

(1) 安全 性 高 。 攻 击 有 限 域 上 的 离散 对 数 问题 有 指数 积分 法 ,其 运算 复杂 度 
为 Olexp Vlogp) (loglogp)”) ,其 中 jp 是 模 数 ,为 素数 。 而 它 对 椭圆 曲线 上 的 离散 对 数 
问题 并 不 是 有 效 的 。 目 前 攻击 椭圆 曲线 上 的 离散 对 数 问 题 只 有 适合 攻击 任何 循环 群 上 离 
散 对 数 问题 的 大 步 小 步 法 .其 运算 复杂 度 为 O(exp(log Vs )) ,其 中 px 是 椭圆 曲线 所 
形成 的 Abel 群 的 阶 的 最 大 素 因 子 。 因 此 ,椭圆 曲线 密码 体制 比 基 于 有 限 域 上 的 离散 对 数 
问题 的 公 钥 体制 更 安全 。 

(2) 密 钥 量 小 。 由 攻击 两 者 的 算法 复杂 度 可 知 ,在 实现 相同 的 安全 性 能 的 条 件 下 , 顶 
圆 曲 线 密 码 体制 所 需 的 密 钥 量 远 比 基于 有 限 域 上 的 离散 对 数 问题 的 公 钥 体制 的 密 钥 
量 小 。 

(3) 灵活 性 好 。 有 限 域 GF(g) 一 定 的 情况 下 ,其 上 的 循环 群 ( 即 GF(g) 一 {0)) 就 确定 
了 。 而 GF(g) 上 的 椭圆 曲线 可 以 通过 改变 曲线 参数 ,得 到 不 同 的 曲线 ,形成 不 同 的 循环 
群 。 因 此 ,椭圆 曲线 具有 丰富 的 群 结构 和 多 选择 性 。 

正 是 由 于 椭圆 曲线 具有 丰富 的 群 结构 和 多 选择 性 ,并 可 在 保持 和 RSA/DSA 体制 同 
样 安全 性 能 的 前 提 下 大 大 缩短 密 钥 长 度 (目前 160 比特 足以 保证 安全 性 ) ,因而 在 密码 领 
域 有 着 广阔 的 应 用 前 景 。 表 4-9 给 出 了 椭圆 曲线 密码 体制 和 RSA/DSA 体制 在 保持 同等 
安全 的 条 件 下 各 自 所 需 的 密 钥 的 长 度 。 


表 4-9 ECC 和 RSA/DSA 在 保持 同等 安全 的 条 件 下 所 需 的 密 钥 长 度 ( 单 位 为 比特 ) 


RSA/DSA 512 768 1024 2048 21000 





ECC 106 132 160 211 600 
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48 ”SM2 椭圆 曲线 公 钥 密码 加 密 算法 





SM2 是 中 国 国家 密码 管理 局 颁布 的 中 国 商 用 公 钥 密码 标准 算法 , 它 是 一 组 椭圆 曲线 
密码 算法 ,其 中 包含 加 解密 算法 、 数 字 签 名 算法 。 

SM2 算法 与 国际 标准 的 ECC 算法 比较 : 

(1) ECC 算法 通常 采用 NIST 等 国际 机 构建 议 的 曲线 及 参数 ,而 SM2 算法 的 参数 需 
要 利用 一 定 的 算法 产生 。 而 由 于 算法 中 加 入 了 用 户 特 异性 的 曲线 参数 、 基 点 、 用 户 的 公 钥 
点 信息 , 故 使 得 SM2 算法 的 安全 性 明显 提高 。 

(2) 在 ECC 算法 中 ,用 户 可 以 选择 MD5 或 SHA-1 等 国际 通用 的 哈 希 算法 。 而 SM2 
算法 中 则 使 用 SM3 哈 希 算法 ,SM3 算法 输出 为 256 比特 ,其 安全 性 与 SHA-256 算法 基 
本 相当 

SM2 算法 分 为 基于 素数 域 和 基于 二 元 扩 域 两 种 。 本 节 仅 介绍 基于 素数 域 的 SM2 
算法 。 


1. 基本 参数 

基于 素数 域 F, 的 SM2 算法 参数 如 下 : 

。 下 的 特征 p 为 m 比特 长 的 素数 ,p 要 尽 可 能 大 ,但 太 大 会 影响 计算 速度 ; 

。 长度 不 小 于 192 比特 的 比特 串 SEED; 

。 下 ,上 的 2 个 元 素 a.b, 满 足 4a; 十 27? 取 0, 定 义 曲线 E(F,): y? 二 xz? 十 az 十 b; 
。 基 点 G= (ze,ye) EE(F,),GA#O; 

。G 的 阶 n 为 m 比特 长 的 素数 ,满足 7 全 2 上 且 m>4Vp 


1 一 [CE 1 称 为 余 因 子 ,其 中 |E(CFy)| 是 曲线 E(Fy) 的 点 数 。 


SEED 和 a 的 产生 算法 如 下 : 

(1) 任意 选取 长 度 不 小 于 192 比特 的 比特 串 SEED; 

(2) 计算 五 王妃 ss(SEED) , 记 互 一 (hass ,hzss，… ,ho) ,其 中 万 ss 表示 256 比特 输出 的 
SM3 哈 希 算法 ; 


255 


(3) 取 R= 2)hi2'; 


(4) 取 r=R mod p; 
(5) 在 F, 上 任意 选择 2 个 元 素 a,6b, 满 足 rb? 二 a? mod p; 
(6) 车 4a 十 27 妇 一 0 mod p, 则 转向 (1); 
(7) 所 选择 的 ,上 曲线 是 E(F,): y?==z? 十 az 十 b; 
(8) 输出 (SEED,a,p) 。 
2 密 钥 产生 
设 接 收 方 为 B,B 的 秘密 钥 取 为 {1,2,…,n 一 1) 中 的 一 个 随机 数 ds, 记 为 ds<k{1， 
2,…,n 一 1) ,其 中 是 基点 G 的 阶 。 
130 


IE 第 4 章 公 角 密码。 mmm 


B 的 公开 钥 取 为 椭圆 曲线 上 的 点 : 
Bs= 0G 
其 中 G=G(z,y) 是 基点 。 


3. 加 密 算法 

设 发 送 方 是 A,A 要 发 送 的 消息 表示 成 比特 串 M,M 的 长 度 为 klen。 加 密 运 算 如 下 : 

(1) 选择 随机 数 kk{1,2,…,n 一 1); 

(2) 计算 椭圆 曲线 点 Ci 二 kG 二 (x1,y1) ,将 Cz,y) 表 示 为 比特 串 ; 

(3) 计算 椭圆 曲线 点 $=hPs , 若 S 是 无 穷 远 点 , 则 报错 并 退出 ; 

(4) 计算 椭圆 曲线 点 &Ps 一 (zs ,yz) ,将 (zs ,yz) 表 示 为 比特 串 ; 

(5) 计算 t=KDF(zs | y ,klen) , 若 :为 全 0 的 比特 串 , 则 返回 (1)， 

(6) 计算 C 一 MGt; 

(7) 计算 C: 王 Hash(zs eM | ye); 

(8) 输出 密 文 C= (Ci ,Cz ,Cs:) 。 

其 中 第 (5) 步 KDF(，。 ) 是 密 钥 派生 函数 ,其 本 质 上 就 是 一 个 伪 随 机 数 产 生 函 数 , 用 来 
产生 密 钥 , 取 为 密码 哈 希 函数 SM3。 第 (3) 步 的 Hash 函数 也 取 为 SM3。 

图 4-5 是 SM2 加 密 算法 的 流程 图 。 
椭圆 曲线 参数 ， 明 文 M， 公 钥 Ps 
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4 解密 算法 

B 收 到 密 文 后 ,执行 以 下 解密 运算 : 

(1) 从 C 中 取出 比特 串 Ci ,将 C, 表示 为 椭圆 曲线 上 的 点 ,验证 C, 是否 满足 椭圆 曲 
线 方程 , 若 不 满足 则 报错 并 退出 ; 

(2) 计算 椭圆 曲线 点 S=hC ,车 S 是 无 穷 远 点 , 则 报错 并 退出 ; 

(3) 计算 daCi 二 (x; yy ) ,将 坐标 zs ,ys 表示 为 比特 串 ; 

(4) 计算 :一 KDF(Czs | ys ,klen) , 若 :为 全 0 比特 串 , 则 报错 并 退出 ; 

(5) 从 C 中 取出 比特 串 C， ,计算 M' 一 Co 

(6) 计算 wx 一 Hash(zs | M | yw ), 从 C 中 取出 Ca , 若 x 夫 C: , 则 报错 并 退出 ; 

(7) 输出 明文 M 。 

图 4-6 是 SM2 解密 算法 的 流程 图 。 
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解密 的 正确 性 : 因为 Ps 一 dsG,Ci 二 kG 二 (xi,y1), 由 解密 算法 的 第 (3) 步 可 得 
dsC1 = dskG = k(dsG) = kPs = (zx2,y2) 
所 以 解密 算法 第 (4) 步 得 到 的 1 与 加 密 算法 第 (5) 步 得 到 的 t+ 相 等 ,由 C,; 旬 t, 便 得 到 明 
文 M。 








习 题 


1. 证 明 以 下 关系 : 
(1) (a mod n)= (6 mod n), 则 4b mod n; 
(2) qb mod nn;, 则 46a mod n; 
(3) 4b mod n,b=c mod n, 则 ac mod n。 
2. 证 明 以 下 关系 : 
(1) [Ca mod n)—(b mod n)Jmod n=(a—b)mod ns; 
(2) [(a mod n)X(b modn)]modn=(aXb)modn。 
3. 用 Fermat 定理 求 3 mod 11。 
4. 用 推广 的 Euclid 算法 求 67 mod 119 的 逆 元 。 
5. 求 gcd(4655,12075) 。 
6. 求解 下 列 同 余 方程 组 : 
TX 三 2 mod 3 
Xx 三 1] mod 5 
TX 三 1 mod7 
7. 计算 下 列 Legendre 符号 : 


(1) (车 )， 2 ( 寺 ); 《3》 (总 }. 
8. 求 25 的 所 有 本 原 根 。 
9. 证 明 当 且 仅 当 n 是 素数 时 ,《(Z, ,十 ,,X,) 是 域 。 
10. 设 通信 双方 使 用 RSA 加 密 体制 ,接收 方 的 公开 钥 是 (e,z) 一 (5,35) ,接收 到 的 密 
文 是 C 王 10, 求 明文 M。 
11. 已 知 cx mod n 的 运行 时 间 是 O(log’n) ,用 中 国 剩余 定理 改进 RSA 的 解密 运算 。 
如 果 不 考 虑 中 国 剩余 定理 的 计算 代价 ,证明 改 进 后 的 解密 运算 速度 是 原 解密 运算 速度 的 
4 售 。 
12. 设 RSA 加 密 体制 的 公开 钥 是 (e,z) 一 (77,221) 。 
(1) 用 重复 平方 法 加 密 明文 160, 得 中 间 结 果 为 : 
160* (mod 221) = 185 
1604(mod 221) = 191 
160 (mod 221) = 16 
160' (mod 221) = 35 
1602 (mod 221) = 120 
a 
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160%* (mod 221) = 35 
160” (mod 221) = 118 
160"* (mod 221) = 217 
1607 (mod 221) = 23 
若 敌手 得 到 以 上 中 间 结 果 就 很 容易 分 解 , 问 敌 手 如 何 分 解 n。 
(2) 求解 密 密 钥 4 。 
13. 在 ElGamal 加 密 体制 中 , 设 素数 p= 二 71, 本 原 根 5 一 7， 
(1) 如 果 接 收 方 B 的 公开 钥 是 we 一 3, 发 送 方 A 选择 的 随机 整数 & 一 2, 求 明文 M= 
30 所 对 应 的 密 文 。 
(2) 如 果 A 选择 另 一 个 随机 整数 &, 使 得 明文 M=30 加 密 后 的 密 文 是 C= (59,C;)， 
求 C: 。 
14. 设 背 包 密 码 系统 的 超 递增 序列 为 (3,4,9,17,35), 乘 数 :一 19, 模 数 & 人 一 73, 试 对 
good night 加 密 。 
15. 设 背包 密码 系统 的 超 递 增 序列 为 (3,4,8,17,35) , 乘 数 :一 17, 模 数 &=67, 试 对 密 
文 25.2.72.92 解密 。 
16. 已 知 n=pq,p,q 都 是 素数 ,x,yEZ; ,其 Jacobi 符号 都 是 1, 其 中 Z; 一 Z, 一 (0)， 
证 明 : 
(1) zy(mod n) 是 模 的 平方 剩余 , 当 且 仅 当 xz,y 都 是 模 n 的 平方 剩余 或 x、y 都 是 
模 的 非 平方 剩余 。 
(2) x?ys (mod n) 是 模 的 平方 剩余 , 当 且 仅 当 zxz,y 都 是 模 n 的 平方 剩余 或 x ,y 都 是 
模 的 非 平方 剩余 。 
17. 在 Rabin 密码 体制 中 设 一 53.q 一 59: 
(1) 确定 1 在 模 n 下 的 4 个 平方 根 。 
(2) 求 明文 消息 2347 所 对 应 的 密 文 。 
(3) 对 上 述 密 文 ,确定 可 能 的 4 个 明文 。 
18. 椭圆 曲线 E11(1,6) 表 示 y: 二 x? 十 x 十 6 mod 11, 求 其 上 的 所 有 点 。 
19. 已 知 点 G 二 (2,7) 在 椭圆 曲线 E11(1,6) 上 , 求 2G 和 3G。 
20. 利用 椭圆 曲线 实现 EIGamal 密码 体制 , 设 椭圆 曲线 是 El (1.6) ,生成 元 G== (2,7)， 
接收 方 A 的 秘密 钥 na 二 7。 
(1) 求 A 的 公开 钥 Pa。 
(2) 发 送 方 B 和 欲 发 送 消 息 P,, 一 (10,9) ,选择 随机 数 & 一 3, 求 密 文 Cu 。 
(3) 显示 接收 方 A 从 密 文 C 恢复 消息 P， 的 过 程 。 
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密 钥 分 配 与 密 钥 管理 


5.1 单 钥 加 密 体制 的 密 钥 分 配 





511 密 钥 分 配 的 基本 方法 


两 个 用 户 ( 主 机 进程、 应 用 程序 ) 在 用 单 钥 密码 体制 进行 保密 通信 时 ,首先 必须 有 
一 个 共享 的 秘密 密 钥 ,而 且 为 防止 攻击 者 得 到 密 钥 , 还 必须 时 常 更 新 密 钥 。 因 此 ,密码 
系统 的 强度 也 依赖 于 密 钥 分 配 技术 。 两 个 用 户 A 和 B 获 得 共享 密 钥 的 方法 有 以 下 
几 种 : 

(1) 密 钥 由 A 选取 并 通过 物理 手段 发 送 给 B; 

(2) 密 钥 由 第 三 方 选取 并 通过 物理 手段 发 送 给 A 和 B; 

(3) 如 果 A、B 事 先 已 有 一 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 密 
钥 并 发 送 给 另 一 方 ; 

(4) 如 果 A 和 也 与 第 三 方 C 分 别 有 一 个 保密 信道 , 则 C 为 A、B 选取 密 钥 后 ,分 别 在 
两 个 保密 信道 上 发 送 给 A、B。 

前 两 种 方法 称 为 人 工 发 送 。 在 通信 网 中 , 若 只 有 个 别 用 户 想 进行 保密 通信 , 密 钥 的 人 
工 发 送 还 是 可 行 的 。 然 而 如 果 所 有 用 户 都 要 求 支 持 加 密 服务 , 则 任 一 对 希望 通信 的 用 户 
都 必须 有 一 共享 密 钥 。 如 果 有 个 用 户 , 则 密 钥 数目 为 n(n 一 1)/2。 因 此 当 n 很 大 时 , 密 
钥 分 配 的 代价 非常 大 , 密 钥 的 人 工 发 送 是 不 可 行 的 。 

对 第 三 种 方法 ,攻击 者 一 旦 获得 一 个 密 钥 就 可 获取 以 后 所 有 的 密 钥 ;再 者 对 所 有 用 户 
分 配 初 始 密 钥 时 ,代价 仍然 很 大 。 

第 四 种 方法 比较 常用 ,其 中 的 第 三 方 通常 是 一 个 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 
心 。 这 时 每 一 用 户 必 须 和 密 钥 分 配 中 心 有 一 个 共享 密 钥 , 称 为 主 密 钥 。 通 过 主 密 钥 分 配 
给 一 对 用 户 的 密 钥 称 为 会 话 密 钥 ,用 于 这 一 对 用 户 之 间 的 保密 通信 。 通 信 完 成 后 ,会话 密 
钥 即 被 销毁 。 如 上 所 述 ,如 果 用 户 数 为 n, 则 会 话 密 钥 数 为 n(n 一 1)/2。 但 主 密 钥 数 却 只 
需 n 个 ,所 以 主 密 钥 可 通过 物理 手段 发 送 。 


512 一 个 实例 


图 5-1 是 密 钥 分 配 的 一 个 实例 。 假 定 两 个 用 户 A、B 分 别 与 密 钥 分 配 中 心 (Key 
Distribution Center,KDC) 有 一 个 共享 的 主 密 钥 KA。 和 Ks,A 希望 与 B 建立 一 个 共享 的 
一 次 性 会 话 密 钥 ,可 通过 以 下 几 步 : 
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(1) Request | N 


(2) Ex, [Ks|| Request | N || Ex, (Ks, IDA)] 





(3) Exs [Ks | IDA] 






(4) Exs [Na] 









(5) Ex, [CN 


5-1 密 钥 分 配 实例 





(1) A 向 KDC 发 出 会 话 密 钥 请 求 。 表 示 请 求 的 消息 由 两 个 数据 项 组 成 : 一 是 A 和 
B 的 身份 ;二 是 这 次 业务 的 唯一 识别 符 Ni, 称 Ni 为 一 次 性 随机 数 , 可 以 是 时 间 戳 .计数 
器 或 随机 数 。 每 次 请 求 所 用 的 Ni 都 应 不 同 , 且 为 防止 假冒 ,应 使 敌手 对 Ni 难以 猜测 。 
因此 用 随机 数 作为 这 个 识别 符 最 为 合适 。 

(2) KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 由 Ks。 加 密 的 消息 ,因此 只 有 A 才能 成 功 地 
对 这 一 消息 解密 ,并 且 A 可 相信 这 一 消息 的 确 是 由 KDC 发 出 的 。 消 息 中 包括 A 希望 得 
到 的 两 项 ， 

。 一 次 性 会 话 密 钥 Ks; 

。A 在 (1) 中 发 出 的 请 求 ,包括 一 次 性 随机 数 Ni ,目的 是 使 A 将 收 到 的 应 答 与 发 出 

的 请 求 相 比较 ,看 是 否 匹 配 。 

因此 A 能 验证 自己 发 出 的 请 求 在 被 KDC 收 到 之 前 ,未 被 他 人 算 改 。 而 且 A 还 能 根 
据 一 次 性 随机 数 相信 自己 收 到 的 应 答 不 是 重 放 的 过 去 的 应 答 。 

此 外 ,消息 中 还 有 B 希望 得 到 的 两 项 : 

。 一 次 性 会 话 密 钥 Ks; 

。 A 的 身份 (例如 A 的 网 络 地 址 )ID。; 

这 两 项 由 Ks 加 密 , 将 由 A 转发 给 B, 以 建立 A、B 之 间 的 连接 并 用 于 向 B 证 明 人 A 的 
身份 。 

(3) A 存储 会 话 密 钥 ,并 向 也 转发 Ek, [Ks | IDA]。 因 为 转发 的 是 由 Ks 加 密 后 的 密 
文 ,所 以 转发 过 程 不 会 被 窃听 。B 收 到 后 ,可 得 会 话 密 钥 Ks ,并 从 IDA 可 知 另 一 方 是 A， 
而 且 还 从 Ex 知道 Ks 的 确 来 自 KDC。 

这 一 步 完成 后 ,会 话 密 钥 就 安全 地 分 配给 了 A、B。 然 而 还 能 继续 以 下 两 步 ; 

(4) B 用 会 话 密 钥 Ks 加 密 另 一 个 一 次 性 随机 数 N, ,并 将 加 密 结 果 发 送 给 A。 

(5) A 以 (Ns) 作为 对 B 的 应 答 , 其 中 了 是 对 NN 进行 某 种 变换 (例如 加 1) 的 函数 ， 
并 将 应 答 用 会 话 密 钥 加 密 后 发 送 给 B。 

这 两 步 可 使 B 相信 第 (3) 步 收 到 的 消息 不 是 一 个 重 放 。 

注意 : 第 (3) 步 就 已 完成 密 钥 分 配 . 第 (4)、(5) 两 步 结合 第 (3) 步 执行 的 是 认证 功能 。 
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51.3 密 钥 的 分 层 控制 


网 络 中 如 果 用 户 数目 非常 多 而 且 分 布 的 地 域 非常 广 , 一 个 KDC 就 无 法 承担 为 用 户 
分 配 密 钥 的 重任 。 问 题 的 解决 方法 是 使 用 多 个 KDC 的 分 层 结 构 。 例 如 ,在 每 个 小 范围 
(如 一 个 LAN 或 一 个 建筑 物 ) 内 ,都 建立 一 个 本 地 KDC。 同 一 范围 的 用 户 在 进行 保密 通 
信 时 ,由 本 地 KDC 为 他 们 分 配 密 钥 。 如 果 两 个 不 同 范围 的 用 户 想 获得 共享 密 钥 , 则 可 通 
过 各 自 的 本 地 KDC, 而 两 个 本 地 KDC 的 沟通 又 需 经 过 一 个 全 局 KDC。 这 样 就 建立 了 两 
层 KDC。 类 似 地 ,根据 网 络 中 用 户 的 数目 及 分 布 的 地 域 .可 建立 三 层 或 多 层 KDC。 

分 层 结 构 可 减少 主 密 钥 的 分 布 ,因为 大 多 数 主 密 钥 是 在 本 地 KDC 和 本 地 用 户 之 间 
共享 。 再 者 ,分 层 结构 还 可 将 虚假 KDC 的 危害 限制 到 一 个 局 部 区 域 。 


514 会 话 密 钥 的 有 效 期 


会 话 密 钥 更 换 得 越 频繁 ,系统 的 安全 性 就 越 高 。 因 为 敌手 即使 获得 一 个 会 话 密 钥 ,也 
只 能 获得 很 少 的 密 文 。 但 另 一 方面 ,会 话 密 钥 更 换 得 太 频 繁 ,又 将 延迟 用 户 之 间 的 交换 ， 
同时 还 造成 网 络 负担 。 所 以 在 决定 会 话 密 钥 的 有 效 期 时 ,应 权衡 矛盾 的 两 个 方面 。 

对 面向 连接 的 协议 ,在 连接 未 建立 前 或 断 开 时 ,会 话 密 钥 的 有 效 期 可 以 很 长 。 而 每 次 
建立 连接 时 ,都 应 使 用 新 的 会 话 密 钥 。 如 果 逻 辑 连 接 的 时 间 很 长 , 则 应 定期 更 换 会 话 
密 钥 。 

无 连接 协议 (如 面向 业务 的 协议 ) 无 法 明确 地 决定 更 换 密 钥 的 频率 。 为 安全 起 见 ,用 
户 每 进行 一 次 交换 ,都 用 新 的 会 话 密 钥 。 然 而 这 又 失去 了 无 连接 协议 主要 的 优势 , 即 对 每 
个 业务 都 有 最 少 的 费用 和 最 短 的 延迟 。 比 较 好 的 方案 是 在 某 一 固定 周期 内 或 对 一 定数 目 
的 业务 使 用 同一 会 话 密 钥 。 


515 无 中 心 的 密 钥 控制 


用 密 钥 分 配 中 心 为 用 户 分 配 密 钥 时 ,要 求 所 有 用 户 都 信任 KDC, 同 时 还 要 求 对 KDC 
加 以 保护 。 如 果 密 钥 的 分 配 是 无 中 心 的 , 则 不 必 有 以 上 两 个 要 求 。 然 而 如 果 每 个 用 户 都 
能 和 自己 想 与 之 建立 联系 的 另 一 用 户 安全 地 通信 , 则 对 及 个 用 户 的 网 络 来 说 , 主 密 钥 应 
多 达 n(n 一 1)/2 个 。 当 nn 很 大 时 ,这 种 方案 无 实用 价值 ,但 在 整个 网 络 的 局 部 范围 却 非常 
有 用 。 
无 中 心 的 密 钥 分 配 时 ,两 个 用 户 A 和 B 建立 会 话 密 钥 需 经 过 以 下 3 步 , 见 图 5-2。 
(1) Request | N, 









(2) Evxk,, [Ks || Request | IDs | (ND) || Ns] 





G3) ErL7(N)] 


图 5-2 无 中 心 的 密 钥 分 配 
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(1) A 向 B 发 出 建立 会 话 密 钥 的 请 求 和 一 个 一 次 性 随机 数 Ni 。 

(2) B 用 与 A 共享 的 主 密 钥 MK, 对 应 答 的 消息 加 密 , 并 发 送 给 A。 应 答 的 消息 中 有 
B 选取 的 会 话 密 钥 、B 的 身份 .FCNi ) 和 另 一 个 一 次 性 随机 数 N;, 。 

(3) A 使 用 新 建立 的 会 话 密 钥 Ks 对 了 (Ns) 加 密 后 返回 给 B。 


516 密 钥 的 控制 使 用 


因为 密 钥 可 根据 其 不 同 用 途 分 为 会 话 密 钥 和 主 密 钥 两 种 类 型 ,所 以 还 希望 对 密 钥 的 
使 用 方式 加 以 某 种 控制 ,会 话 密 钥 又 称 为 数据 加 密 密 钥 , 主 密 钥 又 称 为 密 钥 加 密 密 钥 。 

如 果 主 密 钥 泄露 了 , 则 相应 的 会 话 密 钥 也 将 泄露 ,因此 主 密 钥 的 安全 性 应 高 于 会 话 密 
钥 的 安全 性 。 一 般 在 密 钥 分 配 中 心 以 及 终端 系统 中 , 主 密 钥 都 是 物理 上 安全 的 ,如 果 把 主 
密 钥 当 作 会 话 密 钥 注 入 加 密 设备 ,那么 其 安全 性 则 降低 。 

单 钥 体制 中 的 密 钥 控制 技术 有 : 


1. 密 钥 标签 

用 于 DES 的 密 钥 控制 ,将 DES 的 64 比特 密 钥 中 的 8 个 校 验 位 作为 控制 使 用 这 一 密 
钥 的 标签 。 标 签 中 各 比特 的 含义 为 : 

。 一 个 比特 表示 这 个 密 钥 是 会 话 密 钥 还 是 主 密 钥 。 

。 一 个 比特 表示 这 个 密 钥 是 否 能 用 于 加 密 。 

。 一 个 比特 表示 这 个 密 钥 是 否 能 用 于 解密 。 

。 其 他 比特 无 特定 含义 ,留待 以 后 使 用 。 

由 于 标签 是 在 密 钥 之 中 的 ,所 以 在 分 配 密 钥 时 ,标签 与 密 钥 一 起 被 加 密 , 因 此 可 对 标 
签 起 到 保护 。 本 方案 的 缺点 一 是 标签 的 长 度 被 限制 为 8 比特 ,限制 了 它 的 灵活 性 和 功能 。 
二 是 由 于 标签 是 以 密 文 形 式 传送 ,只 有 解密 后 才能 使 用 ,因而 限制 了 对 密 钥 使 用 的 控制 
方式 。 


2 控制 矢量 
这 一 方案 比 上 一 方案 灵活 。 方 案 中 对 每 一 会 话 密 钥 都 指定 一 个 相应 的 控制 矢量 , 控 
制 矢 量 分 为 若干 字段 ,分别 用 于 说 明 在 不 同情 况 下 密 钥 是 被 允许 使 用 还 是 不 被 允许 使 用 ， 
且 控 制 矢 量 的 长 度 可 变 。 控 制 撩 量 是 在 KDC 产生 密 钥 时 加 在 密 钥 之 中 的 ,过 程 由 
图 5-3(a) 所 示 。 首 先 由 一 个 哈 希 函数 将 控制 矢量 压缩 到 与 加 密 密 钥 等 长 ,然后 与 主 密 钥 
异 或 后 作为 加 密会 话 密 钥 的 密 钥 , 即 
H=h(CV) 
K, = K.@OH 
Ko = Er,@nLKs] 
其 中 CV 是 控制 撩 量 ,h 是 哈 希 函数 ,K 是 主 密 钥 ,Ks 是 会 话 密 钥 。 会 话 密 钥 的 恢复 过 
程 由 图 5-3(b) 所 示 ,表示 为 
Ks= Dr,@nLExr,@uLKs]] 
KDC 在 向 用 户 发 送 会 话 密 钥 时 ,同时 以 明文 形式 发 送 控制 矢量 。 用 户 只 有 使 用 与 
KDC 共享 的 主 密 钥 以 及 KDC 发 送 来 的 控制 矢量 才能 恢复 会 话 密 钥 ,因此 还 必须 保留 会 
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加 密 的 会 话 
控制 向 量 (CV) ” 主 密 钥 (K,) ”会 话 密 钥 (Ks) 控制 向 量 (CV) ” 主 密 钥 (K,) ”” 密 钥 (Kow) 


了 
























































哈 希 函数 哈 希 函数 
十 十 
密 钥 输入 (Kin) | 明文 输入 密 钥 输入 (Kin) | 明文 输入 
加 密 函数 解密 函数 
加 密 的 会 话 密 钥 会 话 密 钥 
(Ko (Ks) 
(a) 结合 (b) 去 除 


5-3 控制 矢量 的 使 用 方式 


话 密 钥 与 其 控制 矢量 之 间 的 对 应 关系 。 

与 使 用 8 比特 的 密 钥 标签 相 比 ,使 用 控制 矢量 有 两 个 优点 : 第 一 ,控制 矢量 的 长 度 没 
有 限制 ,因此 可 对 密 钥 的 使 用 施加 任意 复杂 的 控制 ;第 二 ,控制 矢量 始终 是 以 明文 形式 存 
在 ,因此 可 在 任 一 阶段 对 密 钥 的 使 用 施加 控制 。 


52 公 钥 加 密 体制 的 密 钥 管理 





前 一 节 介 绍 了 单 钥 密码 体制 中 的 密 钥 分 配 问 题 ,而 公 钥 加 密 的 一 个 主要 用 途 是 分 配 
单 钥 密码 体制 使 用 的 密 钥 。 本 节 介 绍 两 个 内 容 : 一 是 公 钥 密码 体制 所 用 的 公开 密 钥 的 分 
配 ; 二 是 如 何 用 公 钥 体制 来 分 配 单 钥 密 码 体制 所 需 的 密 钥 。 

521 公 钥 的 分 配 

公 钥 的 分 配方 法 有 以 下 几 类 。 

1. 公开 发 布 

公开 发 布 指 用 户 将 自己 的 公 钥 发 给 每 一 其 他 用 户 , 或 向 某 一 团体 广播 。 例 如, PGP 
(Pretty Good Privacy) 中 采用 了 RSA 算法 , 它 的 很 多 用 户 都 是 将 自己 的 公 钥 附加 到 消息 
上 ,然后 发 送 到 公开 (公共 ) 区 域 ,如 因特网 邮件 列表 。 

这 种 方法 虽然 简单 ,但 有 一 个 非常 大 的 缺点 , 即 任何 人 都 可 伪造 这 种 公开 发 布 。 如 果 
某 个 用 户 假装 是 用 户 A 并 以 A 的 名 义 向 另 一 用 户 发 送 或 广播 自己 的 公开 钥 , 则 在 A 发 
现 假冒 者 以 前 ,这 一 假冒 者 可 解读 所 有 意欲 发 向 A 的 加 密 消息 ,而 且 假 冒 者 还 能 用 伪造 
的 密 钥 获得 认证 。 

2 公用 目录 表 

公用 目录 表 指 建立 一 个 公用 的 公 钥 动态 目录 表 , 目 录 表 的 建立 、 维 护 以 及 公 钥 的 分 布 
由 某 个 可 信 的 实体 或 组 织 承担 , 称 这 个 实体 或 组 织 为 公用 目录 的 管理 员 。 与 第 一 种 分 配 
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方法 相 比 ,这 种 方法 的 安全 性 更 高 。 该 方案 有 以 下 一 些 组 成 部 分 : 

(1) 管理 员 为 每 个 用 户 都 在 目录 表 中 建立 一 个 目录 ,目录 中 有 两 个 数据 项 : 一 是 用 
户 名 ,二 是 用 户 的 公开 钥 。 

(2) 每 一 用 户 都 亲自 或 以 某 种 安全 的 认证 通信 在 管理 者 那里 为 自己 的 公开 钥 注册 。 

(3) 用 户 如 果 由 于 自己 的 公开 钥 用 过 的 次 数 太 多 或 由 于 与 公开 钥 相 关 的 秘密 钥 已 被 
泄露 , 则 可 随时 用 新 密 钥 替 换 现 有 的 密 钥 。 

(4) 管理 员 定 期 公布 或 定期 更 新 目录 表 。 例 如 , 像 电 话 号 码 本 一 样 公 布 目录 表 或 在 
发 行 量 很 大 的 报纸 上 公布 目录 表 的 更 新 。 

(5) 用 户 可 通过 电子 手段 访问 目录 表 , 这 时 从 管理 员 到 用 户 必须 有 安全 的 认证 通信 。 

本 方案 的 安全 性 虽然 高 于 公开 发 布 的 安全 性 ,但 仍 易 受 攻击 。 如 果 敌 手 成 功 地 获取 
了 管理 员 的 秘密 钥 ,就 可 伪造 一 个 公 钥 目录 表 , 以 后 既 可 假冒 任 一 用 户 , 又 能 监听 发 往 任 
一 用 户 的 消息 , 且 公 用 目录 表 还 易 受 到 敌手 的 窜 扰 。 


3. 公 钥 管理 机 构 

如 果 在 公 钥 目录 表 中 对 公 钥 的 分 配 施加 更 严密 的 控制 ,安全 性 将 会 更 强 。 与 公用 目 
录 表 类 似 ,这 里 假定 有 一 个 公 钥 管 理 机 构 来 为 各 用 户 建立 、 维 护 动态 的 公 钥 目录 ,但 同时 
对 系统 提出 以 下 要 求 , 即 : 每 个 用 户 都 可 靠 地 知道 管理 机 构 的 公开 钥 , 而 只 有 管理 机 构 自 
己 知道 相应 的 秘密 钥 。 公 开 钥 的 分 配 步骤 如 下 ,如 图 5-4 所 示 。 













(1) Request | Time, (4) Request | Time> 
(2) Eskw [PKe || Request|| Timej] (5) Eskw [PKA || Request | Time,] 


(3) Eee [IDA | Nl 








(6) Epk, [Ni | Nal 





(7) Epxs [N;] 
5-4 公 钥 管理 机 构 分 配 公 钥 


(1) 用 户 A 向 公 钥 管理 机 构 发 送 一 个 带 时 间 戳 的 消息 ,消息 中 有 获取 用 户 B 的 当前 
公 钥 的 请 求 。 

(2) 管理 机 构 对 A 的 请 求 作出 应 答 ,应 答 由 一 个 消息 表示 ,该 消息 由 管理 机 构 用 自己 
的 秘密 钥 SKAu 加 密 , 因 此 A 能 用 管理 机 构 的 公开 钥 解 密 , 并 使 A 相信 这 个 消息 的 确 是 来 
源 于 管理 机 构 。 

应 答 的 消息 中 有 以 下 几 项 : 

。，B 的 公 钥 PKs,A 可 用 它 对 将 发 往 B 的 消息 加 密 ; 

。 A 的 请 求 ,用 于 A 验证 收 到 的 应 答 的 确 是 对 相应 请 求 的 应 答 , 且 还 能 验证 自己 最 
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初 发 出 的 请 求 在 被 管理 机 构 收 到 以 前 未 被 算 改 。 
。 最 初 的 时 间 戳 ,以 使 A 相信 管理 机 构 发 来 的 消息 不 是 一 个 旧 消 息 ,因此 消息 中 的 
公开 钥 的 确 是 B 当前 的 公 钥 。 
(3) A 用 B 的 公开 钥 对 一 个 消息 加 密 后 发 往 B, 这 个 消息 有 两 个 数据 项 ,一 是 A 的 身 
份 IDA ,二 是 一 个 一 次 性 随机 数 Ni ,用 于 唯一 地 标识 这 次 业务 。 
(4)、 (5) B 以 相同 方式 从 管理 机 构 获 取 A 的 公开 钥 。 这 时 ,A 和 了 B 都 已 安全 地 得 到 
了 对 方 的 公 钥 ,所 以 可 进行 保密 通信 。 然 而 ,他 们 也 许 还 希望 有 以 下 两 步 ,以 认证 对 方 。 
(6) B 用 PKA 对 一 个 消息 加 密 后 发 往 A, 该 消息 的 数据 项 有 A 的 一 次 性 随机 数 N 
和 也 产生 的 一 个 新 一 次 性 随机 数 Ns 。 因 为 只 有 也 能 解密 (3) 的 消息 ,所 以 A 收 到 的 消息 
中 的 Ni 可 使 其 相信 通信 的 另 一 方 的 确 是 B。 
(7) A 用 B 的 公开 钥 对 Ns 加 密 后 返回 给 B, 可 使 B 相信 通信 的 另 一 方 的 确 是 A。 
以 上 过 程 共 发 送 了 7 个 消息 ,其 中 前 4 个 消息 用 于 获取 对 方 的 公开 钥 。 用 户 得 到 对 
方 的 公开 钥 后 存 下 可 供 以 后 使 用 ,这 样 就 不 必 再 发 送 前 4 个 消息 了 ,然而 还 必须 定期 地 通 
过 密 钥 管理 中 心 获取 通信 对 方 的 公开 钥 , 以 免 对 方 的 公开 钥 更 新 后 无 法 保证 当前 的 通信 。 


4 公 钥 证 书 

上 述 公 钥 管理 机 构 分 配 公 开 钥 时 也 有 缺点 ,由 于 每 一 用 户 要 想 和 他 人 联系 都 需求 助 
于 管理 机 构 , 所 以 管理 机 构 有 可 能 成 为 系统 的 瓶颈 ,而 且 由 管理 机 构 维 护 的 公 钥 目录 表 也 
易 被 政 手 窜 扰 。 

分 配 公 钥 的 另 一 方法 是 公 角 证书, 用户 通 过 公 钥 证 书 相互 之 间 交 换 自己 的 公 钥 而 无 
须 与 公 钥 管理 机 构 联 系 。 公 和 钥 证 书 由 证 书 管理 机 构 (Certificate Authority,CA) 为 用 户 建 
立 , 其 中 的 数据 项 有 与 该 用 户 的 秘密 钥 相 匹配 的 公开 钥 及 用 户 的 身份 和 时 间 戳 等 ,所 有 的 
数据 项 经 CA 用 自己 的 秘密 钥 签 字 后 就 形成 证 书 , 即 证 书 的 形式 为 CA 一 Eskw [LT,IDA， 
PKA] ,其 中 ID 是 用 户 A 的 身份 .PKs 是 A 的 公 钥 , 工 是 当前 时 间 戳 ,SKcs 是 CA 的 秘 
密 钥 ,CA 即 是 为 用 户 A 产生 的 证 书 。 产 生 过 程 如 图 5-5 所 示 。 用 户 可 将 自己 的 公开 钥 
通过 公 钥 证 书 发 给 另 一 用 户 ,接收 方 可 用 CA 的 公 钥 PKcA 对 证 书 加 以 验证 , 即 

Drkw[CA] = Dekw[Esku[T,IDA,PKA]] = (T,IDA,PKA) 

因为 只 有 用 CA 的 公 钥 才能 解读 证 书 , 接 收 方 从 而 验证 了 证 书 的 确 是 由 CA 发 放 的 ， 
且 也 获得 了 发 方 的 身份 IDA 和 公开 钥 PKA。 时 间 截 T 为 接收 方 保 证 了 收 到 的 证 书 的 新 
鲜 性 ,用 于 防止 发 方 或 敌 方 重 放 一 个 旧 证 书 。 因 此 时 间 戳 可 被 当 作 截止 日 期 ,证 书 如 果 过 
旧 , 则 被 吊销 。 


522 用 公 钥 加 密 分 配 单 钥 密 码 体 制 的 密 钥 
公开 钥 分 配 完成 后 ,用 户 就 可 用 公 钥 加 密 体制 进行 保密 通信 了 。 然 而 由 于 公 钥 加 密 
的 速度 过 慢 , 以 此 进行 保密 通信 不 太 合适 ,但 用 于 分 配 单 钥 密码 体制 的 密 钥 却 非常 合适 。 
1 简单 分 配 
图 5-6 表示 简单 使 用 公 角 加密 算法 建立 会 话 密 钥 的 过 程 ,如 果 A 希望 与 B 通 信 , 则 
可 通过 以 下 几 步 建立 会 话 密 钥 : 
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图 5-5 证 书 的 产生 过 程 



































CA 的 计算 机 


(1) PKa || IDA 





(2) Epk, [Ks] 





5-6 简单 使 用 公 钥 加 密 算法 建立 会 话 密 铀 


(1) A 产 生 自己 的 一 对 密 钥 {PKA ,SKA} ,并 向 B 发 送 PK ||ID。, 其 中 ID。 表示 A 
的 身份 。 

(2) B 产 生 会 话 密 钥 Ks ,并 用 A 的 公开 钥 PKA 对 Ks 加 密 后 发 往 A。 

(3) A 由 Dsk\[LEek,LKs]] 恢 复 会 话 密 钥 。 因为 只 有 A 能 解读 Ks, 所 以 仅 A、B 知道 
这 一 共享 密 钥 。 

(4) A 销毁 {PKA ,SK。} ,B 销毁 PKA。 

A.B 现在 可 以 用 单 钥 加 密 算法 以 Ks 作为 会 话 密 钥 进 行 保密 通信 ,通信 完成 后 ,又 都 
将 Ks 销毁 。 这 种 分 配 法 尽管 简单 ,但 却 由 于 A、B 双方 在 通信 前 和 完成 通信 后 ,都 未 存 
储 密 钥 , 因 此 , 密 钥 汇 露 的 危险 性 为 最 小 , 且 可 防止 双方 的 通信 被 敌手 监听 。 

这 一 协议 易 受 到 主动 攻击 ,如 果 敌 手 E 已 接 入 A、B 双方 的 通信 信道 ,就 可 以 以 下 不 
被 察觉 的 方式 截获 双方 的 通信 : 

(1) 与 上 面 的 (1) 相 同 。 

(2) E 截获 A 的 发 送 后 ,建立 自己 的 一 对 密 钥 {PKs,SKE} ,并 将 PKs | IDA 发 送 
给 B。 
(3) B 产生 会 话 密 钥 Ks 后 ,将 Erke [Ks] 发 送出 去 。 
(4) EE 截获 B 发 送 的 消息 后 ,由 Dsx, [Epr, [Ks]] 解 读 Ks。 
(5) EE 再 将 Epr、[Ks] 发 往 A。 
现在 A 和 B 知道 Ks, 但 并 未 意识 到 Ks 已 被 玉 截 获 。A.、B 在 用 Ks 通信 时 ,E 就 可 
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以 实施 监听 。 


2 具有 保密 性 和 认证 性 的 密 钥 分 配 
图 5-7 所 示 的 密 钥 分 配 过 程 具有 保密 性 和 认证 性 ,因此 既 可 防止 被 动 攻击 ,又 可 防止 
主动 攻击 。 


(1) Epxs [Nl IDA] 





(3) Epks [N;] 


图 5-7 具有 保密 性 和 认证 性 的 密 钥 分 配 





假定 A、B 双方 已 完成 公 钥 交换 ,可 按 以 下 步骤 建立 共享 会 话 密 钥 ， 

(1) A 用 B 的 公开 钥 加 密 A 的 身份 IDA 和 一 个 一 次 性 随机 数 Ni 后 发 往 B, 其 中 Ni 
用 于 唯一 地 标识 这 一 业务 。 

(2) B 用 A 的 公开 钥 PKA 加 密 A 的 一 次 性 随机 数 Ni 和 了 BB 新 产生 的 一 次 性 随机 数 
Ns 后 发 往 A。 因 为 只 有 B 能 解读 (1) 中 的 加 密 消息 ,所 以 B 发 来 的 消息 中 Ni 的 存在 可 
使 A 相信 对 方 的 确 是 B。 

(3) A 用 B 的 公 钥 PKs 对 Ns 加 密 后 返回 给 B, 以 使 B 相信 对 方 的 确 是 A。 

(4) A 选取 一 个 会 话 密 钥 Ks ,然后 将 MEnr, [Esr, [Ks]] 发 给 B, 其 中 用 B 的 公开 
钥 加 密 是 为 保证 只 有 也 能 解读 加 密 结果 ,用 A 的 秘密 钥 加 密 是 保证 该 加 密 结果 只 有 和 A 能 
发 送 。 

(5) B 以 Dok, LDsx, [M]] 恢 复 会 话 密 钥 。 

523 DiffeHelman 密 钥 交 换 


Diffie-Hellman 密 钥 交换 是 W. Diffie 和 M. Hellman 于 1976 年 提出 的 第 一 个 公 钥 
密码 算法 ,已 在 很 多 商业 产品 中 得 到 应 用 。 该 算法 的 唯一 目的 是 使 得 两 个 用 户 能 够 安全 
地 交换 密 钥 ,得 到 一 个 共享 的 会 话 密 钥 .算法 本 身 不 能 用 于 加 、 解 密 。 

算法 的 安全 性 基于 求 离散 对 数 的 困难 性 。 

图 5-8 表示 Diffie-Hellman 密 钥 交换 过 程 ,其 中 p 是 大 素数 ,a 是 p 的 本 原 根 ,p 和 a 
作为 公开 的 全 程 元 素 。 用 户 A 选择 一 个 保密 的 随机 整数 XA ,并 将 Ys 二 a*s mod p 发 送 
给 用 户 B。 类 似 地 ,用 户 B 选 择 一 个 保密 的 随机 整数 Xe ,并 将 Ys 二 a*s mod p 发 送 给 用 
户 A。 然 后 A 和 B 分 别 由 KK 二 Y#^4 mod 户 和 开 王 Ye mod p 计算 出 的 就 是 共享 密 钥 ,这 
是 因为 

Ya mod p=(a*s mod p)*s mod p= (a*s)*s mod p =a*s*s modp 
=(a*s)*s mod p = (a*s mod p)*s mod p = YXs mod p 
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用 户 A 用 户 B 
选择 一 随机 数 XA<p 选择 一 随机 数 Xs<p 
计算 Y=a* modp 计算 Ye=a* modp 
加 Ya 
计算 KJ modp 计算 KJyAm modp 

















5-8 ”Diffie-Hellman 密 钥 交换 


因为 XA、Xs 是 保密 的 ,敌手 只 能 得 到 p、a、Ys、Ys ,要 想得到 开 , 则 必须 得 到 XA、Xs 中 的 
一 个 ,这 意味 着 需要 求 离散 对 数 。 因 此 敌手 求 K 是 不 可 行 的 。 

【 例 5-1】 p= 二 97,a 二 5,A 和 B 分 别 秘密 选 XA 一 36、Xa 一 58, 并 分 别 计算 YA 一 55 
mod 97 王 50,Ys 王 58%mod 97 二 44。 在 交换 Y ,Ys 后 ,分 别 计算 

K=Yis mod97=44* mod 97=75, K=YX% mod97= 50% mod 97=75 


5.3 ”随机 数 的 产生 





随机 数 在 密码 学 中 起 着 重要 的 作用 。 本 节 首 先 介 绍 随 机 数 在 密码 学 中 的 作用 ,然后 
介绍 产生 随机 数 的 一 些 方法 。 


531 随机 数 的 使 用 


很 多 密码 算法 都 需 使 用 随机 数 ,例如 : 

。 相 互 认 证 ,如 在 图 5-1、 图 5-2、 图 5-4 和 图 5-7 所 示 的 密 钥 分 配 中 ,都 使 用 了 一 次 性 
随机 数 来 防止 重 放 攻击 。 

会 话 密 钥 的 产生 ,用 随机 数 作为 会 话 密 钥 。 

公 钥 密码 算法 中 密 钥 的 产生 ,用 随机 数 作为 公 钥 密码 算法 中 的 密 钥 ,如 图 5-5 所 
示 ; 或 以 随机 数 来 产生 公 钥 密码 算法 中 的 密 钥 , 如 图 5-8 所 示 。 

在 随机 数 的 上 述 应 用 中 ,都 要 求 随机 数 序列 满足 随机 性 和 不 可 预测 性 。 


1. 随机 性 

以 下 两 个 准则 常用 来 保障 数列 的 随机 性 : 

(1) 均匀 分 布 一 一 数列 中 每 个 数 出 现 的 频率 应 相等 或 近似 相等 。 

(2) 独立 性 一 一 数列 中 任意 一 个 数 都 不 能 由 其 他 数 推出 。 

数列 是 否 满足 均匀 分 布 可 通过 检测 得 出 ,而 是 否 满足 独立 性 则 无 法 检测 。 相 反 却 有 
很 多 检测 方法 能 证 明 数 列 不 满足 独立 性 。 通 常 检 测 数列 是 否 满足 独立 性 的 方法 是 在 对 数 
列 进行 了 足够 多 次 检测 后 都 不 能 证 明 不 满足 独立 性 ,就 可 比较 有 把 握 地 相信 该 数列 满足 
独立 性 。 

在 设计 密码 算法 时 ,由 于 真 随机 数 难以 获得 ,经 常 使 用 似乎 是 随机 的 数列 ,这 样 的 数 
列 称 为 伪 随 机 数列 ,这 样 的 随机 数 称 为 伪 随 机 数 。 


2 不 可 预测 性 


在 诸如 相互 认证 和 会 话 密 钥 的 产生 等 应 用 中 ,不仅 要 求 数列 具有 随机 性 ,而 且 要 求 对 
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数列 中 以 后 的 数 是 不 可 预测 的 。 对 于 真 随机 数列 来 说 ,数列 中 每 个 数 都 独立 于 其 他 数 , 因 
此 是 不 可 预测 的 。 对 于 伪 随 机 数 来 说 ,就 需要 特别 注意 防止 敌手 从 数列 前 边 的 数 预 测 出 
后 边 的 数 。 


532 随机 数 源 


真 随机 数 很 难 获 得 ,物理 噪声 产生 器 ,如 离子 辐射 脉冲 检测 器 \ 气 体 放电 管 , 漏 电容 等 
都 可 作为 随机 数 源 , 但 在 网 络 安全 系统 中 很 少 采 用 ,一 方面 是 因为 数 的 随机 性 和 精度 不 
够 , 另 一 方面 这 些 设备 又 很 难 连接 到 网 络 系统 中 。 

一 种 方法 是 将 高 质量 的 随机 数 作为 随机 数 库 编辑 成 书 , 供 用 户 使 用 。 然 而 与 网 络 安 
全 对 随机 数 巨大 的 需求 相 比 , 这 种 方式 提供 的 随机 数 数目 非常 有 限 。 再 者 ,虽然 这 时 的 随 
机 数 的 确 可 被 证 明 具 有 随机 性 ,但 由 于 敌手 也 能 得 到 这 个 随机 数 源 ,而 难以 保证 随机 数 的 
不 可 预测 性 。 

因此 网 络 安全 中 所 需 的 随机 数 都 借助 于 安全 的 密码 算法 来 产生 。 但 由 于 算法 是 确定 
性 的 ,因此 产生 的 数列 不 是 随机 的 。 然 而 如 果 算 法 设计 得 好 ,产生 的 数列 就 能 通过 各 种 随 
机 性 检验 ,这 种 数 就 是 伪 随 机 数 。 


533 伪 随 机 数 产生 器 


最 为 广泛 使 用 的 伪 随 机 数 产 生 器 是 线性 同 余 算法 。 算 法 有 4 个 参数 : 模 数 m(m 记 0)、 
乘 数 a (0 三 a 二 m) 、 增 量 c (0 三 c 二 m) 和 初 值 即 种 子 X。(0 三 Xo 二 m); 由 以 下 迭代 公式 得 
到 随机 数 数列 {X,): 

Xn = (aX, tec) modm 
如 果 mva、c、X。o 都 为 整数 , 则 产生 的 随机 数 数列 {X,} 也 都 是 整数 , 旦 0 二 X, 二 m。 

asc 和 m 的 取 值 是 产生 高 质量 随机 数 的 关键 。 例 如 , 取 “=c=1, 则 结果 数列 中 每 一 
个 数 都 是 前 一 个 数 增 1, 结 果 显然 不 能 令 人 满意 。 如 果 a 二 7,c 二 0,m 二 32,Xo 二 1, 则 产生 
的 数列 为 {7,17,23,1,7,…}) ,在 32 个 可 能 值 中 只 有 4 个 出 现 ,数列 的 周期 为 4, 因 此 结果 
仍 不 能 令 人 满意 。 如 果 取 a 二 7, 其 他 值 不 变 , 则 产生 的 数列 为 {1,5,25,29,17,21,9,13， 
1,…), 周 期 增加 到 8。 

为 使 随机 数 数列 的 周期 尽 可 能 大 ,m 应 尽 可 能 大 。 普 遍 原则 是 选 m 接近 等 于 计算 机 
能 表示 的 最 大 整数 ,如 接近 或 等 于 2 。 

评价 线性 同 余 算 法 的 性 能 有 以 下 3 个 标准 : 

(1) 近代 函数 应 是 整 周 期 的 , 即 数列 中 的 数 在 重复 之 前 应 产生 出 0~m 之 间 的 所 
有 数 。 

(2) 产生 的 数列 看 上 去 应 是 随机 的 。 因 为 数列 是 确定 性 产生 的 ,因此 不 可 能 是 随机 
的 ,但 可 用 各 种 统计 检测 来 评价 数列 具有 多 少 随机 性 。 

(3) 迭代 函数 能 有 效 地 利用 32 位 运算 实现 。 

通过 精心 选取 ac 和 mm, 可 使 以 上 3 个 标准 得 以 满足 。 对 第 三 条 来 说 ,为 了 方便 32 
位 运算 的 实现 ,m 可 取 为 23 一 1。 对 第 一 条 来 说 ,如 果 m 为 素数 (232 一 1 即 为 素数 ) 且 c= 
0, 则 当 a 是 m 的 一 个 本 原 根 , 即 满足 : 
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an mod 7 一 1 

时 ,产生 的 数列 是 整 周期 的 。 例 如 a 二 7 二 16 807 即 为 m= 二 29 一 1 的 一 个 本 原 根 ,由 此 得 
到 的 随机 数 产 生 器 X,11 二 (aX,) mod (23 一 1) 已 被 广泛 应 用 。 

Knuth 给 出 了 使 迭代 函数 达到 整 周期 的 充 要 条 件 : 

定理 5-1 线性 同 余 算法 达到 整 周期 的 充 要 条 件 是 : 

(1) gcd(c,m)=1; 

(2) 对 所 有 满足 p 1m 的 素数 p, 有 a 三 1 (mod p); 

(3) 车 滩 满足 4 1m, 则 a 满足 a 三 1 (mod 4)。 

通常 ,可 取 m= 二 2 ,a 二 2: 十 1,c 二 1, 其 中 是 一 个 整数 ,i<r 也 是 一 个 整数 , 即 可 满足 
定理 5-1 的 条 件 。 

线性 同 余 算法 除了 初 值 Xe 的 选取 具有 随机 性 外 ,算法 本 身 并 不 具有 随机 性 ,因为 
Xo 选 定 后 ,以 后 的 数 就 被 确定 性 地 产生 了 。 这 个 性 质 可 用 于 对 该 算法 的 密码 分 析 , 如 果 
敌手 知道 正在 使 用 的 是 线性 同 余 算 法 并 知道 算法 的 参数 , 则 一 旦 获得 数列 中 的 一 个 数 ,就 
可 得 到 以 后 的 所 有 数 。 甚 至 敌手 如 果 只 知道 正在 使 用 的 是 线性 同 余 算 法 以 及 产生 的 数列 
中 的 极 少 一 部 分 ,就 足以 确定 出 算法 的 参数 。 假 定 敌手 能 确定 X。、Xi 、X*、Xs ,就 可 通过 
以 下 方程 组 


人 modm 关 1]， n==1,2,…,m—2 














Xi = (aXo+tc)modm 
X, = (aXi+c)modm 
X; = (aXztce)modm 
解 出 asc 和 m。 
改进 的 方法 是 利用 系统 时 钟 修改 随机 数 数 列 。 一 种 方法 是 每 当 产 生 NN 个 数 后 ,就 利 
用 当前 的 时 钟 值 模 mm 后 作为 新 种 子 。 另 一 种 方法 是 直接 将 当前 的 时 钟 值 加 到 每 个 随机 
数 上 ( 模 m 加 )。 
下 面 考虑 随机 数 产生 器 X,+ 二 (aX, )mod m 的 实现 。 
算法 实现 时 , 需 解决 的 主要 问题 是 溢出 。 溢 出 产生 的 原因 在 于 乘积 运算 在 模 运 算 之 
前 , 若 能 颠倒 两 个 运算 的 顺序 , 则 可 避免 溢出 。 将 迭代 关系 写 为 X==f(X)==(aX)mod 
训 , 对 算法 做 如 下 修改 : 
车 m=ag; 则 由 于 aX==p*ag 十 r, 其 中 p=laX/ag 片 LX/ 小 所 以 
r=aX—p*ag=a(X—pg) = a(Xmod gq) 
即 (eX)mod m=a(Xmod g) 
下 设 m=ag 十 r, 其 中 g=lm/a ,r=m mod a。 当 rg 时 ,以 下 算法 可 有 效 地 解决 
f(X) =(aX)mod m= aX—m':laX/m Fa (glX/g |+X modg)—m. laX/m| 
=ag [X/g +a(X mod gq) —m* laX/m| 
=(m—r)lX/g |+a(X mod gq) —m* laX/m| 
=a(X modg) —rlX/g +m. (LX/g |—laX/m) 
令 pi(X)=a* (X mod qg)—r* lX/g ps(X)=LX/g}-laX/mJ 则 
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FRY = BR 

由 mgsr 的 定义 及 rr 二 g 知 , 当 1 二 Xm 时 ,a*(X moddq) 和 7 。LX/o 的 取 值 都 在 
0 一 m 一 1 之 间 , 所 以 | pi(X) | 三 m 一 1。 容 易 验 证 0X/g 一 aX/m 二 1, 所 以 p,(X)=[X/gq 
上 -laX/m 上 0 或 1。 

pz(X) 的 值 可 不 通过 它 的 定义 ,而 直接 由 p,(X) 的 值得 出 。 这 是 因为 1<f(X) 志 
m 一 1, 所 以 当 且 仅 当 1 二 p(X) 志 m 一 1 时 ,p(X)==0; 当 且 仅 当 一 (m 一 1) 志 p(X) 志 一 1 
时 ,pa(X) 二 1。 由 此 得 : 

ep = op 如 果 1 寺 p(X) 二 m 一 1 
Pi(X) 十 m， 如 果 一 (m 一 1) 三 p(X) 二 一 1 

算法 进一步 修改 如 下 : 

设 p(X)=a* (X mod gq) ,ps(X)==r* [LX/g 小 那么 


0 2 fp, 如 果 pi(X) >> ps(X) 
A en tn pA 否则 

对 线性 同 余 算 法 ,有 以 下 一 些 常 用 的 变形 。 

1. 窜 形 式 

宪 形 式 的 迭代 公式 为 : 


Xn = (X,) "mod m, n= 1,2," 
其 中 (d,m) 是 参数 ,X。(0 三 Xo 二 m) 是 种 子 。 
根据 参数 的 取 法 , 寡 形 式 又 分 为 以 下 两 种 。 
1) RSA 产生 器 
若 参数 取 为 RSA 算法 的 参数 , 即 m 是 两 个 大 素数 的 乘积 ,d 是 RSA 的 秘密 钥 ,满足 
gcd(d,pC2)) 一 1, 则 此 时 的 随机 数 产生 器 称 为 RSA 产生 器 。 
【 例 5-2】 一 13,q 一 23,d 一 17,mm 一 299,p (mm) 二 264,X。 王 6, 满足 gcd(d,p(7z)) 一 
1。RSA 产生 器 为 
Xo=6 
Xan = (X,)'" mod 299, 7 一 1,2,… 
2) 平方 产生 器 
若 d 取 2,m 二 pq, 而 pg 是 满足 p 硅 gq 三 3 (mod 4) 的 大 素数 ,此 时 的 随机 数 产 生 器 称 
为 平方 产生 器 。 其 迭代 公式 为 : 
Xn = (Xn):mod m, n= 1,2,. 
2 离散 指数 形式 
离散 指数 形式 的 迭代 公式 为 : 


Xn = gmodm, n= 1,2," 


其 中 (g,m) 是 参数 ,X。(0 三 Xo。 二 m ) 是 种 子 。 
534 基于 密码 算法 的 随机 数 产 生 器 


为 了 产生 密码 中 可 用 的 随机 数 , 可 使 用 加 密 算法 。 本 节 介 绍 3 个 具有 代表 性 的 例子 。 
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1. 循环 加 密 

图 5-9 是 通过 循环 加 密 由 主 密 钥 产 生 会 话 密 钥 的 示意 图 ,其 中 周期 为 N 的 计数 器 用 
来 为 加 密 算法 产生 输入 。 例 如 ,要 想 产 生 56 比特 的 DES 周期 为 N 的 计数 器 
密 钥 ,可 使 用 周期 为 2*” 的 计数 器 ,每 产生 一 个 密 钥 后 , 计 6 l= 
数 器 加 1。 因 此 本 方案 产生 的 伪 随 机 数 以 整 周 期 循环 , 输 1 
出 数列 Xo ,Xi ,… ,Xn-1 中 的 每 个 值 都 是 由 计数 器 中 的 不 C+1 
同 值得 到 ,因此 Xo。 了 Xi 关 … 关 Xv_1。 又 因为 主 密 钥 是 受 1 

主 密 钥 K， 

到 保护 的 ,所 以 知道 前 面 的 密 钥 值 想得到 后 面 的 密 钥 在 ”一 一 一 一 ~| 加 密 算法 














计算 上 是 不 可 行 的 。 kB [C+1] 
为 进一步 增加 算法 的 强度 ,可 用 整 周期 的 伪 随 机 数 Ce 
产生 器 代替 计数 器 作为 方案 中 加 密 算法 的 输入 。 人 


2 DES 的 输出 反馈 (OFB) 模 式 

DES 的 OFB 模式 (如 图 3-13 所 示 ) 能 用 来 产生 密 钥 并 能 用 于 流 加 密 。 加 密 算法 的 
每 一 步 输出 都 为 64 比特 ,其 中 最 左边 的 j 个 比特 被 反馈 回 加 密 算法 。 因 此 加 密 算法 的 一 
个 个 64 比特 输出 就 构成 了 一 个 具有 很 好 统计 特性 的 伪 随 机 数 序 列 。 同 样 ,如 此 产生 的 会 
话 密 钥 可 通过 对 主 密 钥 的 保护 而 得 以 保护 。 

3. ANSI 汉人 7 的 伪 随 机 数 产 生 器 

ANSI X9. 17 的 伪 随 机 数 产生 器 是 密码 强度 最 高 的 伪 随 机 数 产生 器 之 一 ,已 在 包括 
PGP 等 许多 应 用 过 程 中 被 采纳 。 

图 5-10 是 ANSI X9. 17 伪 随 机 数 产生 器 的 框图 ,产生 器 有 3 个 组 成 成 分 ， 

K', K, 











DT 一 上 ~| EDE 

















PD—=| EDE Vi 






































图 5-10 ANSI X9. 17 伪 随 机 数 产 生 器 


(1) 输入 。 输 入 为 两 个 64 比特 的 伪 随 机 数 , 其 中 DT; 表示 当前 的 日 期 和 时 间 , 每 产 
生 一 个 数 Ri; 后 ,DT; 都 更 新 一 次 ;V; 是 产生 第 i 个 随机 数 时 的 种 子 ,其 初 值 可 任意 设 定 ， 
以 后 每 次 自动 更 新 。 
(2) 密 钥 。 产 生 器 用 了 3 次 三 重 DES 加 密 ,3 次 加 密使 用 相同 的 两 个 56 比特 的 密 钥 
K, 和 K; ,这 两 个 密 钥 必 须 保密 且 不 能 用 做 他 用 。 
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(3) 输出 。 输 出 为 一 个 64 比特 的 伪 随 机 数 R; 和 一 个 64 比特 的 新 种 子 Vi ,其 中 : 
R; = EDEx, ,r, [V; © EDEx, ,xx LDT;]] 
Vin 一 EDEx, .xr, [LR; ® EDEx, .x, [LDT;]] 
EDE 表示 两 个 密 钥 的 三 重 DES。 
本 方案 具有 非常 高 的 密码 强度 ,这 是 因为 采用 了 112 比特 长 的 密 钥 和 9 个 DES 加 
密 , 同 时 还 由 于 算法 由 两 个 伪 随 机 数 输入 驱动 : 一 个 是 当前 的 日 期 和 时 间 , 另 一 个 是 算法 
上 次 产生 的 新 种 子 。 而 且 即 使 某 次 产生 的 随机 数 R; 泄露 了 ,但 由 于 R; 又 经 一 次 EDE 加 
密 才 产生 新 种 子 Vi ,所 以 别人 即使 得 到 R; ,也 得 不 到 Viti ,从 而 得 不 到 新 随机 数 Ri 。 


535 随机 比特 产生 器 


在 某 些 情况 下 ,需要 的 是 随机 比特 序列 ,而 不 是 随机 数 序列 ,如 流 密码 的 密 钥 流 。 下 
面 介绍 几 个 常用 的 随机 比特 产生 器 。 


1. BBSBlunrBlunrShub) 产 生 器 
BBS 产生 器 是 已 经 过 证 明 的 密码 强度 最 强 的 伪 随 机 数 产 生 器 , 它 的 整个 过 程 如 下 : 
首先 ,选择 两 个 大 素数 p、g, 满 足 p 三 g 三 3(mod 4) , 令 n= 二 pXg。 再 选 一 个 随机 数 s， 
使 得 ;与 n 互 素 。 然 后 按 以 下 算法 产生 比特 序列 {B;): 
Xu 一 modn 
fori 一 ltocodolt{ 
X; = Xi mod ns; 
B; = X; mod 2} 
即 在 每 次 循环 中 取 X; 的 最 低 有 效 位 。 
【 例 5-3】 "一 192 649 二 383X503, 种 子 ;二 101 355 ,结果 由 表 5-1 给 出 。 


表 5-1 BBS 产生 器 的 一 个 例子 





















































i Xi B; i Xi B; 
0 20 749 11 137 922 0 
1 143 135 1 12 123 175 1 
2 177 671 1 13 8630 0 
3 97 048 0 14 114 386 0 
4 89 992 0 15 14 863 1! 
5 174 051 1 16 133 015 和 
6 80 649 也 17 106 065 1 
45 663 1 18 45 870 0 
8 69 442 0 19 137 171 1 
9 186 894 0 20 48 060 0 
10 177 046 0 


BBS 的 安全 性 基于 大 整数 分 解 的 困难 性 , 它 是 密码 上 安全 的 伪 随 机 比特 产生 器 。 如 
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果 伪 随机 比特 产生 器 能 通过 下 一 比特 检验 , 则 称 为 密码 上 安全 的 伪 随 机 比特 产生 器 ,具体 
定义 为 : 以 伪 随 机 比特 产生 器 的 输出 序列 的 前 & 个 比特 作为 输入 ,如 果 不 存在 多 项 式 时 


间 算 法 ,能 以 大 于 寺 的 概率 预测 第 & 十 1 个 比特 。 换 句 话说 ,已 知 一 个 序列 的 前 人 个 比特 ， 
不 存在 实际 可 行 的 算法 能 以 大 于 二 的 概率 预测 下 一 比特 是 0 还 是 1。 


2 Rabin 产 生 器 
设 >2 是 一 个 整数 ,在 [2:,2**!] 之 间 均 匀 选 择 两 个 奇 素数 p、q, 满 足 p 三 g 圭 
3(mod 4) (这 个 条 件 保证 一 1 是 模 p 和 模 g 的 非 平方 剩余 ) , 令 nn 二 pXgq。 迄 代 公式 为 : 
Se (Xi ) mod n, 如 果 (Xi1)*modn 二 n/2 
. n 一 (Xi1)*mod n， 如 果 (Xi1)*modn 宇 n/2 


取 
B= X; mod 2, i= 1;25°% 
则 {Bi: ;一 1,2,…} 就 是 产生 的 随机 比特 序列 。 


3. 离散 指数 比特 产生 器 
设 & 宇 2,m 宇 1 是 两 个 整数 ,在 [2 ,2**!] 之 间 均 匀 选 择 一 个 奇 素数 p, 设 g 是 p 的 一 
个 本 原 根 。 迭 代 公 式 为 ， 
Xi; 一 g*mmod p, i= 1,2,." 
取 Bi 为 X; 的 最 高 有 效 位 ， 
B=[ 状 | cmod2) 
其 中 [ 廊 取 上 整数 函数 , 则 {B,: i 二 1,2,…,k”" 十 m) 就 是 产生 的 随机 比特 序列 。 


5.4 ”秘密 分 害 





54.1 秘密 分 割 门限 方案 


在 诸如 导弹 控制 发 射 、 重 要 场所 的 通行 等 情况 都 必须 由 两 人 或 多 人 同时 参与 才能 生 
效 , 这 时 都 需要 将 秘密 分 给 多 人 掌管 ,并 且 必 须 有 一 定数 目的 掌管 秘密 的 人 同时 到 场 才能 
恢复 这 一 秘密 。 

由 此 ,引入 门限 方案 (Threshold Schemes) 的 一 般 概 念 。 

定义 5-1 设 秘密 s 被 分 成 个 部 分 信息 ,每 一 部 分 信息 称 为 一 个 子 密 钥 或 影子 ,由 
一 个 参与 者 持 有 ,使 得 : 

(1) 由 个 或 多 于 个 参与 者 所 持 有 的 部 分 信息 可 重 构 ;。 

(2) 由 少 于 个 参与 者 所 持 有 的 部 分 信息 则 无 法 重 构 ;。 

称 这 种 方案 为 (k,n)- 秘 密 分 割 门限 方案 ,k 称 为 方案 的 门限 值 。 

如 果 一 个 参与 者 或 一 组 未 经 授权 的 参与 者 在 猜测 秘密 * 时 ,并 不 比 局 外 人 猜 秘密 时 
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有 优势 , 则 称 这 个 方案 是 完善 的 , 即 (&,n)- 秘 密 分 割 门限 方案 是 完善 的 ,如 果 : 
(3) 由 少 于 个 参与 者 所 持 有 的 部 分 信息 得 不 到 秘密 s 的 任何 信息 。 
下 面 介绍 最 具 代表 性 的 两 个 秘密 分 割 门 限 方案 。 


542 Shanir 门限 方案 


Shamir 门限 方案 是 基于 多 项 式 的 Lagrange 插值 公式 的 。 插 值 是 古典 数值 分 析 中 的 
一 个 基本 问题 ,问题 如 下 : 已 知 一 个 函数 p(x) 在 k 个 互 不 相同 的 点 的 函数 值 为 pg (zx;) 
(i 二 1,…,k) ,寻求 一 个 满足 f(z;) 二 g(xzi) (i 二 1,…,k) 的 函数 f(x) ,用 来 表 近 g(x)。f 
(Zz) 称 为 g(x) 的 插值 函数 ,f(z) 可 取 自 不 同 的 函数 类 , 既 可 为 代数 多 项 式 , 也 可 为 三 角 多 
项 式 或 有 理 分 式 。 若 取 f(x) 为 代数 多 项 式 , 则 称 插值 问题 为 代数 插值 ,f(z) 称 为 p(x) 的 
插值 多 项 式 。 常 用 的 代数 插值 有 Lagrange 插值 `Newton 插值 .Hermite 插值 。 

Lagrange 插值 : 已 知 g(x) 在 个 互 不 相同 的 点 的 函数 值 g(zxi) (i 二 1,…,k) ,可 构造 
k 一 1 次 插值 多 项 式 为 

— x1) 

三 ! ee 


k 
fz) = 之 yp (zi) 


这 个 公式 称 为 Lagrange 插值 公式 。 

上 述 问题 也 可 认为 是 已 知 & 一 1 次 多 项 式 f(x) 的 个 互 不 相同 的 点 的 函数 值 f(x;) 
(i 二 1,…,k) ,构造 多 项 式 f(x)。 若 把 密 钥 ; 取 作 f(0),n 个 子 密 钥 取 作 f(x;) (i 二 1,2,…， 
0) ,那么 利用 其 中 的 任意 个 子 密 钥 可 重 构 f(x), 从 而 可 得 密 钥 ,这 种 (k,n)- 秘 密 分 割 
门限 方案 就 是 Shamir 门限 方案 。 

这 种 方案 也 可 按 如 下 更 一 般 的 方式 来 构造 。 设 GF(g) 是 一 有 限 域 ,其 中 g 是 一 个 大 素 
数 , 满 足 9 三 n 十 1, 秘 密 s 是 在 GF(g)\{0} 上 均匀 选取 的 一 个 随机 数 , 表 示 为 skGF(qg)\{0})。 
一 1 个 系数 wm ,as，… sax-1 的 选取 也 满足 a;< 一 kGF(gq)\{0}(i 二 1,2,…,k 一 1)。 在 GF(g) 上 
构造 一 个 有 一 1 次 多 项 式 F(z) 一 ao 十 az 十 … 十 aizt 1。 

nn 个 参与 者 记 为 Pi ,P;,…,P, ,Pi 分 配 到 的 子 密 钥 为 Ci) 。 如 果 任 意 上 个 参与 者 
PP (1 过 is 过 …<in<n) 想 得 到 秘密 s ,可 使 用 {Gi ,fi))1j 二 1,…,k} 构 造 如 
下 的 线性 方程 组 : 

ae 十 Gin) 十 … 十 ac 一 Ga) 


人 十 az) 十 … 十 ar) 后 一 Fi) <5-1) 








ao 十 GD) 十 … 十 acaGioc = fi) 
因为 i,(1 三 /过 有) 均 不 相同 ,所 以 可 由 Lagrange 插值 公式 构造 如 下 的 多 项 式 : 
fz) = B70)1I 他 二 吕 (mod g) 
ww 名、 
从 而 可 得 秘密 ;二 了 (0)。 
然而 参与 者 仅 需 知道 f(z) 的 常数 项 f(0) ,而 无 须知 道 整 个 多 项 式 f(x), 所 以 仅 需 
以 下 表达 式 就 可 求 出 s 


s= cpm Pella i mod 9) 
[sn 
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如 果 & 一 1 个 参与 者 想 获 得 秘密 ,他 们 可 构造 出 由 & 一 1 个 方程 构成 的 线性 方程 组 ， 
其 中 有 个 未 知 量 。 对 GF(q) 中 的 任 一 值 so ,可 设 1(0) 二 so ,这样 可 得 第 个 方程 ,并 
由 Lagrange 插值 公式 得 出 f(x)。 因 此 对 每 一 s。 € GF(g) 都 有 一 个 唯一 的 多 项 式 满足 
式 (5.1), 所 以 已 知 & 一 1 个 子 密 钥 得 不 到 关于 秘密 * 的 任何 信息 ,因此 这 个 方案 是 完善 的 。 

【 例 5-4】 设 k==3,n 二 5,g 二 19,s 二 11, 随 机 选取 a 二 2,as 二 7, 得 多 项 式 为 

f(x) = (7z2 十 2z 十 11)mod 19 
分 别 计算 
f01)= (7 十 2 十 11)mod 19 一 20mod19=1 
f(2) = (28 十 4 十 11)mod 19 = 43 mod 19 一 5 
f(3) = (63 十 6 十 11)mod 19 = 80 mod 19 一 4 
f(4) = (112 十 8 十 11)mod 19 = 131 mod 19 = 17 
f(5) = (175 十 10 十 11)mod 19 = 196 mod 19 一 6 
得 5 个 子 密 钥 。 
如 果 知 道 其 中 的 3 个 子 密 钥 f(2)==5,f(3) 二 4,f(5)==6, 就 可 按 以 下 方式 重 构 f(x); 
5 (7—3) (z 一 5) -5 人 (z 一 3) (z 一 5) -5(z 一 3) (z 一 5) 
(2 一 3) (2 一 5) (— 1)(—3) 3 
一 5。(3-mod 19)。(z 一 3) (z 一 5) 
= (£3) (zz—5) 5 (F393 (tr— 5 


(z—2) (z—5) -4 人 (z 一 2) (z 一 5) 4 (xz—2) (z 一 5) 
(3—2)(3—5) (GD) (一 2) 一 2 


一 4。(( 一 2)-mod 19)。(z 一 2) (xz 一 5) 
4。9。(z 一 2) (z 一 5) = 36 (z 一 2) (zx 一 5) 


(z 一 2) (z 一 3) -6 (人 一 2) (z 一 3) -6 人 一 2) (一 3) 
(5 一 2) (5 一 3) (3)(2) 6 


一 6。(6- mod 19)。(z 一 2) (z 一 3) 
一 6。16。(Z 一 2) (zx—3)= 96 (zx—2) (zz 一 3) 







































































所 以 

f(x) =[65 (z 一 3) (z 一 5) 十 36 (z 一 2) (z 一 5) 十 96 (z 一 2) (z 一 3)]mod 19 
一 [8 (z 一 3) (zz 一 5) 十 17 (z 一 2) (z 一 5) 十 (z 一 2) (z 一 3)]mod 19 
一 (26z2 一 188z 十 296)mod 19 
一 7z2 十 2z 十 11 

从 而 得 秘密 为 ;二 11。 


543 基于 中 国 剩余 定理 的 门限 方案 


设 msms，… s,m 是 nn 个 大 于 1 的 整数 .满足 
mm mm, gcdmism) = 1(Vi,ji), 





mim2 me > mam Mn pt2 


又 设 ; 是 秘密 数据 ,满足 pzzzv imz7ao-tta<s<<7ma722 。 
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第 5 章 密 钥 分 配 与 密 钥 管 = 


计算 Mam2…m ss; 三 s(mod mi) (i 二 1,…,n)。 以 (si,m;,M) 作 为 一 个 子 密 钥 , 集 
合 { (siomi,M)} 夺 ! 即 构成 了 一 个 (k,n) 门 限 方案 。 
这 是 因为 ,在 个 参与 者 ( 记 为 ,is，…,ii) 中 ,每 个 宫 计算 





M = 好 

» ms 
N; = Mi (mod mi ) 
= sM: Ns 


结合 起 来 ,根据 中 国 剩余 定理 可 求 得 方程 组 
二 $s: (mod ms; ) 
: (5-2) 
ss;, (mod m;, ) 


的 解 


i > ys (mod I ms; ) (5-3) 
下 面 证 明 在 方案 给 出 的 条 件 下 , 式 (5-3) 得 到 的 的 确 是 方案 中 被 分 割 的 秘密 数据 ， 
即 * 也 是 方程 组 (5-4) 的 解 。 
SYS 三 SCmod zl) 
(5-4) 
ss, (mod m,) 
设 方程 组 (5-4) 的 解 为 ,显然 ;也 满足 方程 组 (5-2), 有 s 一 s 圭 0(mod ma ),…,s 一 5 三 
0Cmod mi ) ,所 以 ma bs 一 | 一 slcm (Cm; 9 ) = ma ms, 1s' 一 s, 得 三 
s(mod ma eI)。 又 因 ssnam2eepm 信 ma…mi 所 以 > 一 >。 
若 参与 者 少 于 & 个 ,不 妨 设 为 & 一 1, 则 建立 的 方程 组 为 


三 5 (mod ms ) 


5 si (mod i ) 


方程 组 的 解 为 ;= 2 yi (mod Hi ; ) :满足 5 一 Hm, 三 mi…mptz 二 3， 得 到 


不 正确 的 结果 。 
【 例 5-5〗 设 &k==3,n 二 5,m 二 97 ,mz 二 98,ms 二 99,m4 二 101,ms 二 103, 秘 密 数据 ;二 
671 875 ,满足 10 403 二 mms 三 s 达 mimzms 一 941 094。 
计算 Mmmzmsmams 二 9 790 200 882,s; 三 s(mod mi;) (一 1,…,5) 得 一 53,sz 一 
85,ss 二 61,54 二 23,ss 二 6。5 个 子 密 钥 为 (53,97,9 790 200 882),(85,98,9 790 200 882)， 
(61,99,9 790 200 882),(23,101,9 790 200 882),(6,103,9 790 200 882) 。 
现在 假定 i \is is 联合 起 来 计算 ;, 分 别 计算 : 


M= = 100 929 906 M; = MM 99 900 009 Ma = 型 三 98 890 918 
mi 7722 Wy 








N=Mni(modm)=95 (\N;=Mi(modm)=13 \N; Mi!'(mod mi) 三 31 
153 


ul 现代 密码 学 (第 4 版 ) PE 


得 到 
s =SIM Ni + ss Ms N; + ss Ms Ns (mod mim2ms) 
三 53。100 929 906。95 十 85。99 900 009。13 
十 61。98 890 918。31(mod 97。98。99) 
三 805 574 312 593 (mod 941 094) 
三 671 875 
假定 \i\is 联合 起 来 计算 ;, 分 别 计算 : 
Mi 一 党 一 100 929 906 RM 一 并 = 96 932 682 MA = 六 = 95 050 494 


4 
N=M'(modm)=95 \N 三 MGCmodm) 三 61 (\N; = Ms (mod m;s) 三 100 
得 到 
s 三 s1 Mi Ni 十 stM Ni + ssMs Ns (mod mimams ) 
三 53。100 929 906。95 十 23。96 932 682。61 
十 6。95 050 494。100(mod 97。101。103) 
寺 701 208 925 956(mod 1 009 091) 
三 671 875 
假定 is 联合 起 来 计算 ;, 则 
sx 三 SAM Ni 十 sgM NGCmod mm ) 
硅 53 。100 929 906。95 十 23。96 932 682。61(mod 97。101) 
寺 644 178 629 556(mod 9791) 
夺 5679 
得 到 一 个 不 正确 结果 。 


习 题 


1. 在 公 钥 体制 中 ,每 一 用 户 U 都 有 自己 的 公开 钥 PKu 和 秘密 钥 SKu。 如 果 任 意 两 
个 用 户 A、B 按 以 下 方式 通信 ,A 发 给 B 消息 (Eeks (xz),A),B 收 到 后 ,自动 向 A 返回 消息 
(Epr、(m) ,B) 以 通知 A,B 确实 收 到 报 文 m， 
(1) 问 用 户 C 怎样 通过 攻击 手段 获取 报 文 m? 
(2) 若 通信 格式 变 为 : 
人 A 发 给 B 消 息 : Eeks (CEsk (1m),m,A) 
B 向 A 返回 消息 Epr, (Ess (1m) ,72 B) 
这 时 的 安全 性 如 何 ? 分 析 A、B 这 时 如 何 相互 认证 并 传递 消息 mm。 
2. Diffie-Hellman 密 钥 交换 协议 易 受 中 间 人 攻击 , 即 攻击 者 截获 通信 双方 通信 的 内 
容 后 可 分 别 冒 充 通信 双方 ,以 获得 通信 双方 协商 的 密 钥 。 详 细 分 析 攻击 者 如 何 实施 攻击 。 
3. 在 Diffie-Hellman 密 钥 交 换 过 程 中 , 设 大 素数 p 二 11,4a 二 2 是 p 的 本 原 根 。 
(1) 用 户 A 的 公开 钥 YA 一 9, 求 其 秘密 钥 XA 。 
(2) 设 用 户 B 的 公开 钥 Ya=3, 求 A 和 了 B 的 共享 密 钥 开 。 
4. 线性 同 余 算 法 X, :一 (CX,)mod 24. 问 : 
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(1) 该 算法 产生 的 数列 的 最 大 周期 是 多 少 ? 

(2) a 的 值 是 多 少 ? 

(3) 对 种 子 有 何 限 制 ? 

5. 在 Shamir 秘密 分 割 门限 方案 中 , 设 k 二 3,n 二 5,g 二 17,5 个 子 密 钥 分 别 是 8、7、10、 
0、11, 从 中 任 选 3 个 ,构造 插值 多 项 式 并 求 秘 密 数 据 *。 

6. 在 基于 中 国 剩余 定理 的 秘密 分 割 门限 方案 中 , 设 一 2,z 一 3,mma 二 7,mz 王 9 ,ms 
11,3 个 子 密 钥 分 别 是 6.3、.4, 求 秘密 数据 *。 
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第 6 音 
消息 认证 和 哈 希 函数 


第 1 章 曾 介绍 过 信息 安全 所 面临 的 基本 攻击 类 型 ,包括 被 动 攻击 (获取 消息 的 内 容 、 业 
务 流 分 析 ) 和 主动 攻击 (假冒 、 重 放 、 消 息 的 算 改 ,业务 拒绝 )。 抗 击 被 动 攻击 的 方法 是 前 面 已 
介绍 过 的 加 密 , 本 章 介绍 的 消息 认证 则 是 用 来 抗击 主动 攻击 的 。 消 息 认 证 是 一 个 过 程 ,用 于 
验证 接收 消息 的 真实 性 (的 确 是 由 它 所 声称 的 实体 发 来 的 ) 和 完整 性 (未 被 筑 改 .插入 、 删 
除 ) ,同时 还 用 于 验证 消息 的 顺序 性 和 时 间 性 (未 重 排 . 重 放 、 延 迟 )。 除 此 之 外 ,在 考虑 网 络 
安全 时 还 需 考虑 业务 的 不 可 否认 性 , 即 防止 通信 双方 中 的 某 一 方 对 所 传输 消息 的 否认 。 实 现 
消息 的 不 可 否认 性 可 通过 数字 签字 ,数字 签字 也 是 一 种 认证 技术 ,也 可 用 于 抗击 主动 攻击 。 

消息 认证 机 制 和 数字 签字 机 制 都 有 一 产生 认证 符 的 基本 功能 ,这 一 基本 功能 又 作为 认 
证 协议 的 一 个 组 成 部 分 。 认 证 符 是 用 于 认证 消息 的 数值 , 它 的 产生 方法 又 分 为 消息 认证 码 
(Message Authentication Code,MAC) 、 哈 希 函 数 (Hash Function) 两 大 类 ,下 面 分 别 介绍 。 


eu 消息 认证 码 





61.1 消息 认证 码 的 定义 及 使 用 方式 


消息 认证 码 是 指 消息 被 一 个 密 钥 控制 的 公开 函数 作用 后 产生 的 .用 作 认 证 符 的 、 固 定 
长 度 的 数值 ,也 称 为 密码 校 验 和 。 此 时 需要 通信 双方 A 和 B 共享 一 密 钥 KK。 设 A 欲 发 
送 给 B 的 消息 是 M.A 首先 计算 MAC 二 Ck (MD ,其 中 Ck(。) 是 密 钥 控制 的 公开 函数 , 然 
后 向 B 发 送 M | MAC,B 收 到 后 做 与 A 相同 的 计算 , 求 得 一 个 新 MAC ,并 与 收 到 的 
MAC 做 比较 ,如 图 6-1(a) 所 示 。 

如 果 仅 收发 双方 知道 K, 且 B 计算 得 到 的 MAC 与 接收 到 的 MAC 一 致 , 则 这 一 系统 
就 实现 了 以 下 功能 : 

(1) 接收 方 相信 发 方 发 来 的 消息 未 被 算 改 ,这 是 因为 攻击 者 不 知道 密 钥 ,所 以 不 能 够 
在 算 改 消息 后 相应 地 算 改 MAC, 而 如 果 仅 算 改 消息 , 则 接收 方 计算 的 新 MAC 将 与 收 到 
的 MAC 不 同 。 

(2) 接收 方 相信 发 方 不 是 冒充 的 .这 是 因为 除 收 发 双方 外 再 无 其 他 人 知道 密 钥 ,因此 
其 他 人 不 可 能 对 自己 发 送 的 消息 计算 出 正确 的 MAC。 

MAC 函数 与 加 密 算法 类 似 , 不 同 之 处 为 MAC 函数 不 必 是 可 逆 的 ,因此 与 加 密 算法 
相 比 更 不 易 被 攻破 。 

上 述 过 程 中 ,由 于 消息 本 身 在 发 送 过 程 中 是 明文 形式 ,所 以 这 一 过 程 只 提供 认证 性 而 
未 提供 保密 性 。 为 提供 保密 性 可 在 MAC 函数 以 后 (如 图 6-1(b) 所 示 ) 或 以 前 (如 图 6-1(c) 所 
示 ) 进 行 一 次 加 密 ,而 且 加密 密 钥 也 需 被 收发 双方 共享 。 在 图 6-1(b) 中 ,M 与 MAC 链接 
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(c) 认证 性 和 保密 性 : 对 密 文 认证 
6-1 MAC 的 基本 使 用 方式 


后 再 被 整体 加 密 ,在 图 6-1(c) 中 ,M 先 被 加 密 再 与 MAC 链接 后 发 送 。 通 常 希望 直接 对 明 
文 进行 认证 ,因此 图 6-1(b) 所 示 的 使 用 方式 更 为 常用 。 


612 产生 MAC 的 函数 应 满足 的 要 求 


使 用 加 密 算 法 ( 单 钥 算法 或 公 钥 算 法 ) 加 密 消息 时 ,其 安全 性 一 般 取决 于 密 钥 的 长 度 。 
如 果 加 密 算法 没有 弱点 , 则 敌手 只 能 使 用 穷 搜索 攻击 以 测试 所 有 可 能 的 密 钥 。 如 果 密 钥 长 
为 比特 , 则 穷 搜索 攻击 平均 将 进行 2 个 测试 。 特 别 地 ,对 唯 密 文 攻击 来 说 ,敌手 如 果 知 
道 密 文 C, 则 将 对 所 有 可 能 的 密 钥 值 K; 执行 解密 运算 P; 二 Dk, (C), 直 到 得 到 有 意义 的 
明文 。 

对 MAC 来 说 ,由 于 产生 MAC 的 函数 一 般 都 为 多 到 一 映射 ,如 果 产 生 n 比特 长 的 
MAC, 则 函数 的 取 值 范围 即 为 2" 个 可 能 的 MAC, 函 数 输入 的 可 能 的 消息 个 数 N 优 2" ,而 
且 如 果 函 数 所 用 的 密 钥 为 比特 , 则 可 能 的 密 钥 个 数 为 2。 如 果 系 统 不 考虑 保密 性 , 即 
敌手 能 获取 明文 消息 和 相应 的 MAC, 在 这 种 情况 下 考虑 敌手 使 用 穷 搜 索 攻 击 以 获取 产 
生 MAC 的 函数 所 使 用 的 密 钥 。 假 定之 n, 且 敌手 已 得 到 M 和 MAC ,其 中 MAC, = 
Cu (M1) ,敌手 对 所 有 可 能 的 密 钥 值 K; 求 MAC; 二 Ck, (Mi), 直 到 找到 某 个 K; 使 得 
MAC; 一 MAC, 。 由 于 不 同 的 密 钥 个 数 为 2 ,因此 将 产生 2* 个 MAC, 但 其 中 仅 有 2" 个 不 
同 ,由 于 2: 之 2", 所 以 有 很 多 密 钥 (平均 有 2:/2" 二 2 "个 ) 都 可 产生 出 正确 的 MAC ,而 敌 
手 无 法 知道 进行 通信 的 两 个 用 户 用 的 是 哪 一 个 密 钥 ,还 必须 按 以 下 方式 重复 上 述 攻击 : 

第 1 轮 : 已 知 M MAC ,其 中 MAC 一 Ck (Mi)。 对 所 有 2* 个 可 能 的 密 钥 计算 
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MAC:= 一 Cr (M1) ,得 2 二 "个 可 能 的 密 钥 。 

第 2 轮 : 已 知 Mz、 MAC: ,其 中 MAC, 二 Ck (M;)。 对 上 一 轮 得 到 的 2: "个 可 能 的 密 
钥 计 算 MAC; 二 Ck (Mi) ,得 2”**" 个 可 能 的 密 钥 。 

如 此 下 去 ,如 果 ==an, 则 上 述 攻击 方式 平均 需要 a 轮 。 例 如 , 密 钥 长 为 80 比特 ， 
MAC 长 为 32 比特 , 则 第 1 轮 将 产生 大 约 2* 个 可 能 密 钥 , 第 2 轮 将 产生 2* 个 可 能 的 密 
钥 ,第 3 轮 即 可 找 出 正确 的 密 钥 。 

如 果 密 钥 长 度 小 于 MAC 的 长 度 , 则 第 1 轮 就 有 可 能 找 出 正确 的 密 钥 ,也 有 可 能 找 出 
多 个 可 能 的 密 钥 ,如 果 是 后 者 , 则 仍 需 执行 第 2 轮 搜索 。 

所 以 对 消息 认证 码 的 穷 搜 索 攻 击 比 对 使 用 相同 长 度 密 钥 的 加 密 算法 的 穷 搜索 攻击 的 
代价 还 要 大 。 然 而 有 些 攻 击 法 却 不 需要 寻找 产生 MAC 所 使 用 的 密 钥 。 

例如 , 设 M=(Xi | X; | … | X。)? 是 由 64 比特 长 的 分 组 Xi(G 一 1,…',zm2) 链 接 得 到 
的 ,其 消息 认证 码 由 以 下 方式 得 到 : 

A(M) = Xi D Xi 中 … 中 Xn 

CrCM) = Erk[ACM)] 
其 中 四 表示 蜡 或 运算 ,加密 算法 是 电码 本 模式 的 DES。 因 此 , 密 钥 长 为 56 比特 ,MAC 长 
为 64 比特 ,如 果 敌 手 得 到 M | Ck (MD , 则 以 穷 搜 索 攻 击 寻找 开 将 需 做 2” 次 加 密 。 然 而 
敌手 可 用 以 下 方式 攻击 系统 ,将 Xi 到 X,-1 分 别 用 自己 选取 的 YY 到 Yi 替换 , 求 出 
人 一 六 四 六 四 … 中 Y, 由 ACM)( 敌 手 由 M 易 得 ACM) ) ,并 用 Y。 替换 X。。 因 此 敌手 可 
成 功 伪造 一 个 新 消息 M' 二 Yi1…@Y,, 且 M' 的 MAC 与 原 消 息 M 的 MAC 相同 。 

考虑 到 MAC 所 存在 的 以 上 攻击 类 型 ,可 得 它 应 满足 的 以 下 要 求 , 其 中 假定 敌手 知道 

函数 C 但 不 知道 密 钥 KK: 

(1) 如 果 敌 手 得 到 M 和 Cx (MD), 则 构造 一 满足 Ck (M') = 二 Cx (M) 的 新 消息 M 在 计 
算 上 是 不 可 行 的 ; 

(2) Ck (MD 在 以 下 意义 下 是 均匀 分 布 的 : 随机 选取 两 个 消息 MM’,P[Cx CM) = 
Cr(M')] 王 2 一 ,其 中 路 为 MAC 的 长 。 

(3) 若 M' 是 M 的 某 个 变换 , 即 M' = FCM) ,例如 了 为 插入 一 个 或 多 个 比特 ,那么 
P[Cx (M=Cx (M')J]=2-"。 

第 一 个 要 求 是 针对 上 例 中 的 攻击 类 型 的 , 即 敌 手 不 需要 找 出 密 钥 K 而 伪造 一 个 与 截 
获 的 MAC 相 匹 配 的 新 消息 在 计算 上 是 不 可 行 的。 第 二 个 要 求 是 说 敌手 如 果 截 获 一 个 
MAC, 则 伪造 一 个 相 匹 配 的 消息 的 概率 为 最 小 。 第 三 个 要 求 是 说 函数 C 不 应 在 消息 的 某 
个 部 分 或 某 些 比特 弱 于 其 他 部 分 或 其 他 比特 。 否 则 敌手 获得 M 和 MAC 后 就 有 可 能 修 
改 M 中 弱 的 部 分 ,从 而 伪造 出 一 个 与 原 MAC 相 匹 配 的 新 消息 。 


613 数据 认证 算法 


数据 认证 算法 是 最 为 广泛 使 用 的 消息 认证 码 中 的 一 个 ,已 作为 FIPS Publication 
(FIPS PUB 113) ,并 被 ANSI 作为 X9. 17 标准 。 
算法 基于 CBC 模式 的 DES 算法 ,其 初始 向 量 取 为 零 向 量 。 需 被 认证 的 数据 (消息 、 
记录 文件 或 程序 ) 被 分 为 64 比特 长 的 分 组 Di ,D;,… .Dw ,其 中 如 果 最 后 一 个 分 组 不 够 
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64 比特 ,可 在 其 右边 填充 一 些 0, 然 后 按 以 下 过 程 计算 数据 认证 码 ( 见 图 6-2): 
[9 于 于 D9 
0, = Er(D;, ® O01) 
O; = Er (D; ® 0;) 





Ow = Ex (Dy © Ov) 



































第 1 次 第 2 次 第 N 次 
D 
(64 比 特 ) 
1 9 
K | DES 大 .| DES 二 
(56 比 特 ) 加 密 加 密 
1 | 
oO, 
(64 比 特 ) 攻 























6-2 ”数据 认证 算法 
其 中 巨 为 DES 加 密 算法 ,K 为 密 钥 。 
数据 认证 码 或 者 取 为 Ow 或 者 取 为 Ow 的 最 左 M 个 比特 ,其 中 16 寺 M64。 


614 基于 祖冲之 密码 的 完整 性 算法 128-EA3 


基于 祖冲之 密码 ( 见 3. 8 节 ) 的 完整 性 算法 128-EIA3 是 消息 认证 码 (MAC) 函数 ,用 
于 为 输入 的 消息 使 用 完整 性 密 钥 IK 产生 消息 认证 码 (MAC)。 


1. 算 法 的 输入 与 输出 
算法 的 输入 参数 见 表 6-1, 输 出 参数 见 表 6-2。 


表 6-1 输入 参数 表 





























输入 参数 比特 长 度 备 ” 注 
COUNT 32 计数 器 
BEARER 5 承载 层 标识 
DIRECTION 证 传输 方向 标识 
IK 128 完整 性 密 钥 
LENGTH 32 输入 消息 的 比特 长 度 
M LENGTH 输入 消息 
表 6-2 输出 参数 表 

输出 参数 比特 长 度 备 注 

MAC 32 消息 认证 码 
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2. 算法 工作 流程 
算法 工作 流程 如 图 6-3 所 示 。 


BEARER 
COUNT DIRECTION 
























































图 6-3 完整 性 算法 128-EIA3 计算 消息 认证 码 (MAC) 的 原理 框图 


算法 原理 如 下 : 根据 参数 COUNT、BEARER、DIRECTION 按照 一 定 规则 产生 出 初 
始 向 量 IV ,以 完整 性 密 钥 IK 作为 ZUC 算法 的 密 钥 , 执 行 ZUC 算法 产生 出 长 度 为 工 的 
32 位 密 钥 字 流 Z6,Z1,… ,Zi-1。 把 Zo ,Zi1,…,Zi-1 看 成 二 进 制 比特 流 , 从 Zo 首位 开始 逐 
比特 向 后 形成 一 系列 新 的 32 位 密 钥 字 ,并 在 消息 比特 流 的 控制 下 进行 累加 ,最 后 再 加 上 
Zi-1 便 产生 出 消息 认证 码 (MAC)。 
1) 初始 化 
初始 化 是 根据 完整 性 密 钥 IK 和 其 他 输入 参数 ( 见 表 6-1) 构 造 ZUC 算法 的 初始 密 钥 
& 和 初始 向 量 IV。 
把 IK(128 比特 长 ) 和 (128 比特 长 ) 分 别 表示 为 16 个 字 节 : 
IK = IKLOJ || IK[1]J || IK[L2] | … || IKL15]J 
k= ELON CII C2] 1 | C15] 
令 
k[i] = IK[i],i = 0,1,2,…,15 
把 COUNT(32 比特 长 ) 表 示 为 4 个 字 节 : 
COUNT = COUNT[o] | COUNT[1] || COUNT[2] || COUNT[3] 
把 IV(128 比特 长 ) 表 示 为 16 个 字 节 
IV = IV[LOJ | IV[1J | IVL2]J | … IIVL15] 
按 如 下 方式 产生 IV: 
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IV[o] = COUNT[o],IV[1] = COUNT[1] 
IV[2] = COUNT[2],IV[3] = COUNT[3] 
IV[4] = BEARER || 000; ,IV[5] = 00000000。 
IV[6] = 00000000; ,IV[7] = 00000000; 
IV[8] = IV[o] ® (DIRECTION < 7),IV[L9] = IV[1] 
IV[L10] = IV[2];IV[E11] = IV[3] 
IV[12] = IV[L4],IV[13] = IV[5] 
IV[14] = IV[6] ® (DIRECTION < 7) ,IV[15] = IV[7] 
其 中 符号 A<n 表示 把 A 左 移 n 位 。 
2) 产生 完整 性 密 钥 字 流 
利用 初始 密 钥 上 & 和 初始 向 量 IV ,执行 ZUC 密码 算法 产生 工 个 32 位 的 完整 性 密 钥 字 
流 ,其 中 L=[LENGTH/32 HH2。 将 生成 的 密 钥 字 流 表示 为 比特 串 =[0],=[1],…， 
z[32XL 一 1], 其 中 x[0] 为 ZUC 算法 生成 的 第 一 个 32 位 密 钥 字 的 最 高 位 比特 ,k[31] 为 
最 低位 比特 ,其 他 以 此 类 推 。 
为 了 计算 消息 认证 码 (MAC) ,需要 把 比特 串 xz[0],z[1],…,x[32XL 一 1] 重 新 组 合 
成 新 的 32X(L 一 1) 十 1 个 32 位 密 钥 字 = ,方法 是 把 z[0j],z[1],…,z[L31j 表 示 为 zo ,把 
x[1],z[2],…,z[32] 表 示 为 zi ,以 此 类 推 ,把 z[32X (LL 一 1)],z[32X(L 一 了 十 1],…， 
z[32X(L 一 1) 十 31] 表 示 为 Kzxu-»。 即 
zi = z[]z[i 二 1] 中 … ||z[i 二 31] 
i=0,1,2,.…,32X (LC—1) 





3) 计算 MAC 
设 需 要 计算 消息 验证 码 的 消息 比特 序列 为 M==m[0],m[1],…,m[LLENGTH 一 1]。 
设 了 为 一 个 32 比特 的 字 变 量 , 于 是 可 如 下 计算 消息 验证 码 (MAC)。 
MACComputation( ) 
{ 
(1) 置 T= 0; 
(2) For(I = 0;I ~ LENGTH;I+H+) 
lfm[Il]=1Then T=TOz; 
(3) END For 
(4) T= TO zrevern; 
(5) MAC = T @ zxa»; 


6.2 哈 希 函数 





621 哈 希 函数 的 定义 及 使 用 方式 


哈 希 函数 有 是 一 公开 函数 ,用 于 将 任意 长 的 消息 M 映射 为 较 短 的 、 固 定 长 度 的 一 个 
值 五 COM) ,作为 认证 符 , 称 函数 值 互 CM) 为 哈 希 值 或 哈 希 码 或 消息 摘要 。 哈 希 码 是 消息 
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中 所 有 比特 的 函数 ,因此 提供 了 一 种 错误 检测 能 力 , 即 改变 消息 中 任何 一 个 比特 或 几 个 比 
特 都 会 使 哈 希 码 发 生 改 变 。 

图 6-4 表示 哈 希 函数 用 来 提供 消息 认证 的 基本 使 用 方式 ,共有 以 下 6 种 : 

(1) 消息 与 哈 希 码 链接 后 用 单 钥 加 密 算 法 加 密 。 由 于 所 用 密 钥 仅 为 收发 双方 A、B 
共享 ,因此 可 保证 消息 的 确 来 自 A 并 且 未 被 算 改 。 同 时 还 由 于 消息 和 哈 希 码 都 被 加 密 ， 
这 种 方式 还 提供 了 保密 性 , 见 图 6-4(a) 。 

(2) 用 单 钥 加 密 算法 仅 对 喻 希 码 加 密 。 这 种 方式 用 于 不 要 求 保密 性 的 情况 中 可 减少 
处 理 负担 。 注 意 这 种 方式 和 图 6-1(a) 的 MAC 结果 完全 一 样 ,即将 Ex[LH(M)] 看 作 一 个 
函数 ,函数 的 输入 为 消息 M 和 密 钥 K ,输出 为 固定 长 度 , 见 图 6-4(b) 。 

(3) 用 公 钥 加 密 算法 和 发 方 的 秘密 钥 仅 加 密 哈 希 码 。 和 (2) 一 样 ,这 种 方式 提供 认证 
性 ,又 由 于 只 有 发 方 能 产生 加 密 的 哈 希 码 ,. 因 此 这 种 方式 还 对 发 方 发 送 的 消息 提供 了 数字 
签字 ,事实 上 这 种 方式 就 是 数字 签字 , 见 图 6-4(c) 。 

(4) 消息 的 哈 希 值 用 公 钥 加 密 算法 和 发 方 的 秘密 钥 加 密 后 与 消息 链接 ,再 对 链接 后 
的 结果 用 单 钥 加 密 算法 加 密 ,这 种 方式 提供 了 保密 性 和 数字 签字 , 见 图 6-4(d)。 

(5) 使 用 这 种 方式 时 要 求 通信 双方 共享 一 个 秘密 值 S,A 计算 消息 M 和 秘密 值 S 链 
接 在 一 起 的 哈 希 值 , 并 将 此 哈 希 值 附加 到 M 后 发 往 B。 因 B 也 有 S, 所 以 可 重新 计算 哈 
希 值 以 对 消息 进行 认证 。 由 于 秘密 值 S 本 身 未 被 发 送 ,敌手 无 法 对 截获 的 消息 加 以 复 
改 , 也 无 法 产生 假 消 息 。 这 种 方式 仅 提 供认 证 , 见 图 6-4(e)。 

(6) 这 种 方式 是 在 (5) 中 消息 与 哈 希 值 链接 以 后 再 增加 单 钥 加 密 运 算 , 从 而 又 可 提供 
保密 性 , 见 图 6-4(f) 。 

由 于 加 密 运 算 的 速度 较 慢 ,代价 较 高 ,而 且 很 多 加 密 算法 还 受到 专利 保护 ,因此 在 不 
要 求 保密 性 的 情况 下 ,方式 (2) 和 (3) 将 比 其 他 方式 更 具 优 势 。 


622 蛤 希 函 数 应 满足 的 条 件 


哈 希 函数 的 目的 是 为 需 认证 的 数据 产生 一 个 “指纹 ”。 为 了 能 够 实现 对 数据 的 认证 ， 
哈 希 函数 应 满足 以 下 性 质 : 

(1) 函数 的 输入 可 以 是 任意 长 。 

(2) 函数 的 输出 是 固定 长 。 

(3) 已 知 z, 求 昌 (z) 较 为 容易 ,可 用 硬件 或 软件 实现 。 

(4) 已 知 h, 求 使 得 H(z) 二 h 的 zx 在 计算 上 是 不 可 行 的 ,这 一 性 质 称 为 函数 的 单 向 
性 , 称 瓦 (z) 为 单 向 哈 希 郴 数 。 

(5) 已 知 z, 找 出 y(y 关 7) 使 得 电 (y) 二 HH(z) 在 计算 上 是 不 可 行 的 。 

如 果 单 向 哈 希 函数 满足 这 一 性 质 , 则 称 其 为 弱 单 向 哈 希 函数 。 

(6) 找 出 任意 两 个 不 同 的 输入 xz、y, 使 得 也 (y) 一 H(z) 在 计算 上 是 不 可 行 的 。 

如 果 单 向 哈 希 函数 满足 这 一 性 质 , 则 称 其 为 强 单 向 哈 希 函数 。 

性 质 (5)、 (6) 给 出 了 哈 希 函数 无 碰撞 性 的 概念 ,如 果 哈 希 函 数 对 不 同 的 输入 可 产生 相 
同 的 输出 , 则 称 该 函数 具有 碰撞 性 。 

以 上 6 个 性 质 中 ,前 3 个 是 哈 希 函数 能 用 于 消息 认证 的 基本 要 求 。 第 4 个 性 质 ( 即 单 
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向 性 ) 则 对 使 用 秘密 值 的 认证 技术 ( 见 图 6-4(e)) 极 为 重要 。 假 如 哈 希 函数 不 具有 单 向 
性 , 则 攻击 者 截获 M 和 C=H(S1 MD 后 , 求 C 的 逆 S | M, 就 可 求 出 秘密 值 S。 第 5 个 性 
质 使 得 敌手 无 法 在 已 知 某 个 消息 时 ,找到 与 该 消息 具有 相同 哈 希 值 的 另 一 消息 。 这 一 性 
质 用 于 哈 希 值 被 加 密 情况 时 ( 见 图 6-4(b) 和 图 6-4(c)) 防 止 敌 手 的 伪造 ,由 于 在 这 种 情况 
下 ,敌手 可 读 取 传送 的 明文 消息 M, 因 此 能 产生 该 消息 的 哈 希 值 HH(M)。 但 由 于 敌手 不 
知道 用 于 加 密 哈 希 值 的 密 钥 ,他 就 不 可 能 既 伪 造 一 个 消息 M, 又 伪造 这 个 消息 的 喻 希 值 
加 密 后 的 密 文 Ex[H(CM)]。 然 而 ,如 果 第 5 个 性 质 不 成 立 ,敌手 在 截获 明文 消息 及 其 加 
密 的 哈 希 值 后 ,就 可 按 以 下 方式 伪造 消息 : 首先 求 出 截获 的 消息 的 喻 希 值 ,然后 产生 一 个 
具有 相同 哈 希 值 的 伪造 消息 ,最 后 再 将 伪造 的 消息 和 截获 的 加 密 的 哈 希 值 发 往 通信 的 接 
收 一 方 。 第 6 个 性 质 用 于 抵抗 生日 攻击 。 


623 生日 攻击 


1. 相关 问题 

已 知 一 个 哈 希 函数 及 有 nn 个 可 能 的 输出 ,有 H(z) 是 一 个 特定 的 输出 ,如 果 对 互 随机 
取 个 输入 , 则 至 少 有 一 个 输入 y 使 得 昌 (y) 二 H(z) 的 概率 为 0.5 时 , 有 多 大 ? 

以 后 为 叙述 方便 , 称 对 哈 希 函数 也 寻找 上 述 y 的 攻击 为 第 1 类 生日 攻击 。 

因为 五 有 交 个 可 能 的 输出 ,所 以 输入 y 产 生 的 输出 互 (y) 等 于 特定 输出 及 (zx) 的 概 
率 是 1/n, 反 过 来 说 ,H(y) 取 H(z) 的 概率 是 1 一 1/n。y 取 k 个 随机 值 而 函数 的 个 输出 
中 没有 一 个 等 于 H(zx) ,其 概率 等 于 每 个 输出 都 不 等 于 H(z) 的 概率 之 积 ,为 [1 一 1/n]*, 所 以 
y 取 上 个 随机 值得 到 函数 的 个 输出 中 至 少 有 一 个 等 于 甩 (z) 的 概率 为 1 一 [1 一 1/n]*。 

由 (十 x)* 守 1 十 kz, 其 中 |x|1 之 1; 得 


1 一 0 1] ~ 1 [ <] 站 
车 使 上 述 概 率 等 于 0.5, 则 k==n/2。 特 别 地 ,如 果 五 的 输出 为 m 比特 长 , 即 可 能 的 输 
出 个 数 2 一 2", 则 & 一 2”: 。 


2 生日 悼 论 

生日 悖 论 是 考虑 这 样 一 个 问题 : 在 上 个 人 中 至 少 有 两 个 人 的 生日 相同 的 概率 大 于 
0.5 时 ,k 至 少 多 大 ? 

为 了 回答 这 一 问题 ,首先 定义 下 述 概率 : 设 有 个 整数 项 ,每 一 项 都 在 1~n 之 间 等 
可 能 地 取 值 , 则 个 整数 项 中 至 少 有 两 个 取 值 相同 的 概率 为 P(n,k)。 因 而 生日 悖 论 就 是 
求 使 得 P(365,k) 宇 0.5 的 最 小 ,为 此 首先 考虑 个 数据 项 中 任意 两 个 取 值 都 不 同 的 概 
率 , 记 为 Q(365,k)。 如 果 & 记 365, 则 不 可 能 使 得 任意 两 个 数据 都 不 相同 ,因此 假定 三 
365。 上 个 数据 项 中 任意 两 个 都 不 相同 的 所 有 取 值 方式 数 为 : 


365 X 364 X… X (365—k 二 1)= 








3651 
(365—k)! 


即 第 1 个 数据 项 可 从 365 个 中 任 取 一 个 ,第 2 个 数据 项 可 在 剩余 的 364 个 中 任 取 一 个 ,以 
此 类 推 ,最 后 一 个 数据 项 可 从 365 一 A 十 1 个 值 中 任 取 一 个 。 如 果 去 掉 任 意 两 个 都 不 相同 
这 一 限制 条 件 , 可 得 & 个 数据 项 中 所 有 取 值 方式 数 为 365*。 所 以 可 得 
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3651 


Q(365,k) 一 0365 —k) 1365 


3651 
(365 一 有 )1365 

当 & 一 23 时 ,P(365,23) 一 0. 5073, 即 上 述 问 题 只 需 23 人 ,人 数 如 此 之 少 。 若 上 取 
100, 则 P(365,100) 王 0.999 999 7, 即 获得 如 此 大 的 概率 。 之 所 以 称 这 一 问题 是 悖 论 , 是 
因为 当 人 数 & 给 定时 ,得 到 的 至 少 有 两 个 人 的 生日 相同 的 概率 比 我 们 想象 的 要 大 得 多 。 
这 是 因为 在 上 个 人 中 考虑 的 是 任意 两 个 人 的 生日 是 否 相同 ,在 23 个 人 中 可 能 的 情况 数 为 
(和 一 站 3，。 

将 生日 悖 论 推广 为 下 述 问题 : 已 知 一 个 在 1~n 之 间 均 匀 分 布 的 整数 型 随机 变量 , 若 
该 变量 的 人 个 取 值 中 至 少 有 两 个 取 值 相同 的 概率 大 于 0.5, 则 至 少 多 大 ? 


P(365,k) = 1—Q(365,k)=1 

















与 上 类 似 ,PCn,h) 一 1 一 二 一 x' 令 Plnsk) 之 0.5, 可 得 k=1. 18Vi 和 Vn。 
车 取 n 二 365, 则 ==1. 18 V365 二 22. 54。 
3. 生日 攻击 


生日 攻击 基于 下 述 结论 : 设 哈 希 函数 所 有 2” 个 可 能 的 输出 ( 即 输出 长 m 比特 ) ,如 
果 五 的 & 个 随机 输入 中 至 少 有 两 个 产生 相同 输出 的 概率 大 于 0.5, 则 As V2" 一 2":。 

称 寻找 函数 互 的 具有 相同 输出 的 两 个 任意 输入 的 攻击 方式 为 第 开 类 生日 攻击 。 

第 下 类 生日 攻击 可 按 以 下 方式 进行 : 

(1) 设 用 户 将 用 图 6-4(c) 所 示 的 方式 发 送 消息 , 即 A 用 自己 的 秘密 钥 对 消息 的 哈 希 
值 加 密 ,加 密 结果 作为 对 消息 的 签字 ,连同 明文 消息 一 起 发 往 接收 者 。 

(2) 敌手 对 A 发 送 的 消息 M 产生 出 2" ?个 变形 的 消息 ,每 个 变形 的 消息 本 质 上 的 含 
义 与 原 消 息 相 同 , 同 时 敌手 还 准备 一 个 假冒 的 消息 M ,并 对 假冒 的 消息 产生 出 2"“ 个 变 
形 的 消息 。 

(3) 敌手 在 产生 的 两 个 消息 集合 中 , 找 出 哈 希 值 相同 的 一 对 消息 M 和 三 ,由 上 述 讨 
论 可 知 敌 手 成 功 的 概率 大 于 0.5。 如 果 不 成 功 , 则 重新 产生 一 个 假冒 的 消息 ,并 产生 2”? 
个 变形 ,直到 找到 哈 希 值 相同 的 一 对 消息 为 止 。 

(4) 敌手 将 M 提交 给 A 请 求 签字 ,由 于 M 与 忆 的 哈 希 值 相同 ,所 以 可 将 A 对 MM 的 
签字 当 作对 所 的 签字 ,将 此 签字 连同 所 一 起 发 给 意欲 的 接收 者 。 

上 述 攻 击 中 如 果 哈 希 值 的 长 为 64 比特 , 则 敌手 攻击 成 功 所 需 的 时 间 复 杂 度 为 
oy 

将 一 个 消息 变形 为 具有 相同 含义 的 男 一 消息 的 方法 有 很 多 ,例如 对 文件 ,敌手 可 在 文 
件 的 单词 之 间 插 入 很 多 space-space-backspace 字符 对 ,然后 将 其 中 的 某 些 字符 对 替换 为 
space-backspace-space 就 得 到 一 个 变形 的 消息 。 


624 迁 代 型 哈 希 函数 的 一 般 结构 


目前 使 用 的 大 多 数 哈 希 函数 如 MD5、SHA, 其 结构 都 是 迭代 型 的 ,如 图 6-5 所 示 。 其 
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中 函数 的 输入 M 被 分 为 工 个 分 组 Yu ,Yi ,…,YL_1, 每 一 个 分 组 的 长 度 为 6 比特 , 若 最 后 
一 个 分 组 的 长 度 不 够 , 需 对 其 做 填充 。 最 后 一 个 分 组 中 还 包括 整个 函数 输入 的 长 度 值 ,这 
样 一 来 ,将 使 得 敌手 的 攻击 更 为 困难 , 即 敌 手 若 想 成 功 地 产生 假冒 的 消息 ,就 必须 保证 假 
冒 消息 的 哈 希 值 与 原 消息 的 哈 希 值 相同 ,而 且 假冒 消息 的 长 度 也 要 与 原 消息 的 长 度 相等 。 


了 7 
b b. 
n n Ss n 
* 二 一 Ee 
IV=CVo CV 


6-5 和 迭代 型 哈 希 函数 的 一 般 结构 


算法 中 重复 使 用 一 个 压缩 函数 太 注 意 , 有 些 书 将 哈 希 函数 也 称 为 压缩 函数 ,在 此 用 
压缩 函数 表示 哈 希 函数 中 的 一 个 特定 部 分 ),f 的 输入 有 两 项 ,一 项 是 上 一 轮 ( 第 i 一 1 轮 ) 
输出 的 比特 值 CV;_1 , 称 为 链接 变量 , 另 一 项 是 算法 在 本 轮 (第 i 轮 ) 的 5b 比特 输入 分 组 
Yi。 了 的 输出 为 n 比特 值 CV;,CV; 又 作为 下 一 轮 的 输入 。 算 法 开始 时 还 需 对 链接 变量 
指定 一 个 初 值 IV ,最 后 一 轮 输出 的 链接 变量 CV 即 为 最 终 产 生 的 喻 希 值 。 通 常 有 bn， 
因此 称 函数 f 为 压缩 函数 。 算 法 可 表达 如 下 : 

CV。 二 IV==n 比特 长 的 初 值 ; 

C= CV Ya TieL 

H(M) = CV 

算法 的 核心 技术 是 设计 无 碰撞 的 压缩 函数 ,而 敌手 对 算法 的 攻击 重点 是 了 的 内 部 
结构 ,由 于 f 和 分 组 密码 一 样 是 由 若干 轮 处 理 过 程 组 成 ,所 以 对 了 的 攻击 需 通 过 对 各 轮 
之 间 的 位 模式 的 分 析 来 进行 ,分 析 过 程 常 常 需要 先 找 出 了 的 碰撞 。 由 于 f 是 压缩 函数 ， 
其 碰撞 是 不 可 避免 的 ,因此 在 设计 了 时 就 应 保证 找 出 其 碰撞 在 计算 上 是 不 可 行 的 。 

下 面 介绍 几 个 重要 的 迭代 型 哈 希 函数 。 


8 ”MD5s 哈 希 算法 








CV 





MD5 哈 希 算 法 的 前 身 MD4, 由 Ron Rivest 于 1990 年 10 月 作为 RFC 提出 ,1992 年 
4 月 公布 的 MD4 的 改进 (RFC 1320,1321) 称 为 MD5。 


631 算法 描述 


MD5 算法 采用 图 6-5 描述 的 迭代 型 喻 希 函数 的 一 般 结构 如 图 6-6 所 示 。 算 法 的 输 
入 为 任意 长 的 消息 (图 中 为 K 比特 ) ,分 为 512 比特 长 的 分 组 ,输出 为 128 比特 的 消息 
摘要 。 

处 理 过 程 有 以 下 几 步 : 

(1) 对 消息 填充 。 对 消息 填充 ,使 得 其 比特 长 在 模 512 下 为 448, 即 填充 后 消息 的 长 


ma 第 6 章 消息 认证 和 哈 希 函数 mm 


eat 消息 长 度 (K mod 2) 


， 





Lx512 比 特 =Nx32 比 特 
2 比特 Pe 


1 
消息 [100 … 0 














512 比 特 512 比 特 512 比 特 


























Yi 














512 


128 
CVr- 
128 比 特 摘要 


度 为 512 的 某 一 倍数 减 64, 留 出 的 64 比特 备 第 (2) 步 使 用 。 步 骤 (1) 是 必需 的 ,即使 消息 
长 度 已 满足 要 求 , 仍 需 填充 。 例 如 ,消息 长 为 448 比特 , 则 需 填充 512 比特 ,使 其 长 度 变 为 
960, 因 此 填充 的 比特 数 大 于 等 于 1 而 小 于 等 于 512。 

填充 方式 是 固定 的 : 第 1 位 为 1, 其 后 各 位 缘 为 0。 

(2) 附加 消息 的 长 度 用 步骤 (1) 留 出 的 64 比特 以 小 端 (little-endian) 方 式 来 表示 消 
息 被 填充 前 的 长 度 。 如 果 消 息 长 大 于 2*, 则 以 2” 为 模 数 取 模 。 

小 端 方式 是 指 按 数 据 的 最 低 有 效 字 节 (byte) (或 最 低 有 效 位 ) 优 先 的 顺序 存储 数据 ， 
即将 最 低 有 效 字 节 (或 最 低 有 效 位 ) 存 于 低地 址 字 节 (或 位 )。 相 反 的 存储 方式 称 为 大 端 
(big-endian) 方 式 。 

前 两 步 执行 完 后 ,消息 的 长 度 为 512 的 倍数 ( 设 为 荆 倍 ), 则 可 将 消息 表示 为 分 组 长 
为 512 的 一 系列 分 组 Yo ,Yi ,…,Yr-:。 而 每 一 分 组 又 可 表示 为 16 个 32 比特 长 的 字 , 则 
消息 中 的 总 字数 为 N= 二 LX16, 因 此 消息 又 可 按 字 表 示 为 ML[0,…,N 一 1]。 

(3) 对 MD 缓冲 区 初始 化 ”算法 使 用 128 比特 长 的 缓冲 区 以 存储 中 间 结 果 和 最 终 哈 
希 值 ,缓冲 区 可 表示 为 4 个 32 比特 长 的 寄存 器 (A,B,C,D) ,每 个 寄存 器 都 以 小 端 方式 存 
储 数据 ,其 初 值 取 为 (以 存储 方式 )A 二 01234567, B=89ABCDEF,C=FEDCBA98,D= 
76543210, 实 际 上 为 67452301,EFCDAB89,98BADCFE,10325476。 

(4) 以 分 组 为 单位 对 消息 进行 处 理 ”每 一 分 组 Y,(g 二 0,…,L 一 1) 都 经 一 压缩 函数 
昌 wos 处 理 。Hwo; 是 算法 的 核心 ,其 中 又 有 4 轮 处 理 过 程 ,如 图 6-7 所 示 。 

Hos 的 4 轮 处 理 过 程 结 构 一 样 ,但 所 用 的 逻辑 函数 不 同 , 分 别 表示 为 F.G、H、1。 每 
轮 的 输入 为 当前 处 理 的 消息 分 组 Y, 和 缓冲 区 的 当前 值 A、B、C、D, 输 出 仍 放 在 缓冲 区 中 
以 产生 新 的 A、B、C、.D。 每 轮 处 理 过 程 还 需 加 上 常数 表 TT 中 四 分 之 一 个 元 素 ,分 别 为 
T[1..16],T[17..32],TL33..48],T[49..64]。 表 工 有 64 个 元 素 , 见 表 6-3, 第 i 个 元 素 
T[ 门 为 2”Xabs(sin( 引 ) 的 整数 部 分 ,其 中 sin 为 正弦 函数 ,; 以 弧度 为 单位 。 由 于 
abs(sin(i)) 大 于 0 小 于 1, 所 以 T[ 让 可 由 32 比特 的 字 表 示 。 第 4 轮 的 输出 再 与 第 1 轮 的 
输入 CV 相 加 , 相 加 时 将 CV 看 作 4 个 32 比特 的 字 ,每 个 字 与 第 4 轮 输出 的 对 应 的 字 按 
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6-7 MD5 的 分 组 处 理 框图 


模 2* 相 加 , 相 加 的 结果 即 为 压缩 函数 Hw; 的 输出 。 
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表 6-3 常数 表 了 
T[1]=D76AA478 T[17]=F61E2562 T[33]=FFFA3942 T[49]=F4292244 
T[2]=E8C7B756 T[18]=C040B340 T[34]=8771F681 T[50]=432AFF97 
T[3]=242070DB T[19]=265E5A51 T[35] 王 699D6122 T[51]= AB9423A7 
T[4]=C1lBDCEEE T[20]=E9B6C7AA T[36]=FDE5380C T[52]=FC93A039 
T[5]=F57COFAF T[21]=D62F105D T[37]= A4BEEA44 T[53]=655B59C3 
T[6]=4787C62A T[22]=02441453 T[38]=4BDECFA9 T[54]=8FOCCC92 
T[7]= A8304613 T[23]=D8A1lE681 T[39]=F6BB4B60 T[55]=FFEFF47D 
T[8]=FD469501 T[24]=E7D3FBC8 T[40]=BEBFBC70 T[56]=85845DD1 
T[9]=698098D8 T[25]=21E1CDE6 T[41]=289B7EC6 T[57]=6FA87E4F 
T[10]=8B44F7AF T[26]=C33707D6 T[42]=EAA127FA T[58]=FE2CE6E0 
T[11]=FFFF5BB1 T[27]=F4D50D87 T[43]=D4EF3085 T[L59]= A3014314 
T[12]=895CD7BE T[28]=455A14ED TL44] 王 04881D05 T[60]=4E0811Al 
T[13]=6B901122 T[29]= A9E3E905 T[45]=D9D4D039 T[L61]=F7537E82 
T[14]=FD987193 T[30]=FCEFA3F8 TL46]=E6DB99E5 T[L62]=BD3AF235 
T[15]= A679438E T[31]=676F02D9 T[47]=1FA27CF8 T[63]=2AD7D2BB 
T[16]=49B40821 TL32] 王 8D2A4C8A T[48]=C4AC5665 TL64]=EB86D391 

















ma 第 6 章 消息 认证 和 哈 希 函数 mm 


(5) 输出 。 消 息 的 工 个 分 组 都 被 处 理 完 后 ,最 后 一 个 Hos 的 输出 即 为 产生 的 消息 
摘要 。 


步骤 (3) 到 步骤 (5) 的 处 理 过 程 可 总 结 如 下 : 


CVo=1V; 
CVon = CV。 十 RFrLY。,RFn[Y.,RFcLY,,RFr[LY.,CV。]]]]; 
MD= CV 


其 中 IV 是 步骤 (3) 所 取 的 缓冲 区 ABCD 的 初 值 ,Y, 是 消息 的 第 g 个 512 比特 长 的 分 组 ， 
了 是 消息 经 过 步骤 (1) 和 步骤 (2) 处 理 后 的 分 组 数 ,CV。 为 处 理 消息 的 第 g 个 分 组 时 输入 
的 链接 变量 ( 即 前 一 个 压缩 函数 的 输出 ),RF, 为 使 用 基本 逻辑 函数 zx 的 轮 函数 ,十 为 对 
应 字 的 模 2* 加 法 ,MD 为 最 终 的 哈 希 值 。 


632 MD5 的 压缩 函数 


压缩 函数 Huos 中 有 4 轮 处 理 过 程 ,每 轮 又 对 缓冲 区 ABCD 进行 16 步 迭 代 运 算 , 每 
一 步 的 运算 形式 为 ( 见 图 6-8): 
ab+CLS,(at+ gb,csd) + X[kRj+ Ti]) 








4 B Cc D 


ws 


























1 
4 | B 他 D 


图 6-8 压缩 函数 中 的 一 步 迭 代 示 意图 




















其 中 4a.b\cd 为 缓冲 区 的 4 个 字 , 运 算 完 成 后 再 右 循 环 一 个 字 , 即 得 这 一 步 授 代 的 输出 。 
8 是 基本 人 逻辑 函数 下 .G\ 有 、I 之 一 。CLS, 是 32 位 存 数 左 循环 移 * 位 ,* 的 取 值 由 表 6-4 
给 出 。T[ 习 为 表 荆 中 的 第 i 个 字 , 十 为 模 2* 加 法 。X[k] 一 MLgX16 十 kj], 即 消息 第 g 个 
分 组 中 的 第 & 个 字 (R=1,…,16)。 在 4 轮 处 理 过 程 中 ,每 轮 以 不 同 的 次 序 使 用 16 个 字 ， 
其 中 在 第 一 轮 以 字 的 初始 次 序 使 用 。 第 二 轮 到 第 四 轮 ,分 别 对 字 的 次 序 衬 做 置换 后 得 到 
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一 个 新 次 序 ,然后 以 新 次 序 使 用 16 个 字 。3 个 置换 分 别 为 : 
ez) 一 (1 十 5i)mod 16 
aa) 一 (5 十 3i)mod 16 
os) = 7imod 16 


表 6-4 压缩 函数 每 步 左 循环 移 位 的 位 数 

































































二 1 2 3 4 5 6 7 8 9|110|11|12|13|14|15 16 
轮 数 

1 7|112|17|22|71|112117|122|7 |112|117 | 22 7 了 | 又 22 

2 5 9|114|20|5|19|14|20|5 9 | 14 | 20 5 9 14 20 

3 4|111|16|23|4|11|16|23|4|11|16 | 23 4 | 23 

4 6|110|15|21|6 |10|15|21|6|10|15|21 6 10 | 15 21 


4 轮 处 理 过 程 分 别 使 用 不 同 的 基本 人 逻辑 函数 下.G、H、T, 每 个 逻辑 函数 的 输入 为 3 个 
32 比特 的 字 , 输 出 是 一 个 32 比特 的 字 , 其 中 的 运算 为 逐 比 特 的 逻辑 运算 , 即 输出 的 第 
个 比特 是 3 个 输入 的 第 个 比特 的 函数 ,函数 的 定义 由 表 6-5 给 出 ,其 中 人 、V 、 一 、 四 分 
别 是 逻辑 与 ,逻辑 或 . 收 辑 非 和 异 或 运算 , 表 6-6 是 4 个 函数 的 真 值 表 。 


表 6-5 基本 逻辑 函数 的 定义 














轮 数 基本 逻辑 函数 glbycsd) 
1 Fl(b,crd) (Ac)VCGAd) 
2 Glbscd) (Ad)V(CcAd) 
3 H(b,c,d) bc 由 Lv 
4 I(bycsd) < 四 (COVd) 








表 6-6 基本 逻辑 函数 的 真 值 表 














b ¢ d 下 G H f b c d F G 插 I 
0 0 0 0 0 0 1 » 0 0 0 0 1 1 
0 0 1 0 0 1 0 1 0 Ll 0 1 
0 i 0 0 1 1 0 1 1 0 1 0 0 
0 1 和 和 0 0 1 1 1 1 1 1 1 0 














633 MD5 的 安全 性 


Rivest 猜想 作为 128 比特 长 的 哈 希 值 来 说 ,MD5 的 强度 达到 了 最 大 ,比如 说 , 找 出 具 

有 相同 哈 希 值 的 两 个 消息 需 执行 0(2” ) 次 运算 ,而 寻找 具有 给 定 哈 希 值 的 一 个 消息 需要 

执行 0(2 汉 ) 次 运算 。 然 而 ,2004 年 ,山东 大 学 王小云 等 成 功 找 出 了 MD5 的 碰撞 ,发 生 碰 

撞 的 消息 是 由 两 个 1024 比特 长 的 串 M、N; 构成 的 , 设 消息 M1 Ni 的 碰撞 是 M | Ni, 在 
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IBM P690 上 找 M 和 M“ 花 费时 间 大 约 一 小 时 , 找 出 M 和 M' 后, 则 只 需 15 秒 至 5 分 钟 就 
可 找 出 N 和 Nif。 


6.4 安全 哈 希 算法 





安全 哈 希 算法 (Secure Hash Algorithm,SHA) 由 美国 NIST 设计 ,于 1993 年 作为 联 
邦 信息 处 理 标准 (FIPS PUB 180) 公 布 。SHA-0 是 SHA 的 早期 版 本 ,SHA-0 被 公布 后 ， 
NIST 很 快 就 发 现 了 它 的 缺陷 ,修改 后 的 版 本 称 为 SHA-1, 简 称 为 SHA。SHA 是 基于 
MD4 算法 ,其 结构 与 MD4 非常 类 似 。 


641 算法 描述 


算法 的 输入 为 小 于 2”* 比 特长 的 任意 消息 ,分 为 512 比特 长 的 分 组 ,输出 为 160 比特 长 
的 消息 摘要 。 算 法 的 框图 与 图 6-6 一 样 ,但 哈 希 值 的 长 度 和 链接 变量 的 长 度 为 160 比特 。 

算法 的 处 理 过 程 有 以 下 几 步 : 

(1) 对 消息 填充 。 与 MD5 的 步骤 (1) 完 全 相同 。 

(2) 附加 消息 的 长 度 。 与 MD5 的 步骤 (2) 类 似 , 不 同 之 处 在 于 以 大 端 方式 表示 填充 
前 消息 的 长 度 。 即 步骤 (1) 留 出 的 64 比特 当 作 64 比特 长 的 无 符号 整数 。 

(3) 对 MD 缓冲 区 初始 化 。 算 法 使 用 160 比特 长 的 缓冲 区 存储 中 间 结 果 和 最 终 哈 希 
值 ,缓冲 区 可 表示 为 5 个 32 比特 长 的 寄存 器 (A,B,C,D,E) ,每 个 寄存 器 都 以 大 端 方式 存 
储 数据 ,其 初始 值 分 别 为 A==67452301, B= 二 EFCDAB89,C 二 98BADCFB,D=10325476， 
E=C3D2E1F0。 

(4) 以 分 组 为 单位 对 消息 进行 处 理 。 每 一 分 组 Y, 都 经 一 压缩 函数 处 理 , 压 缩 函数 由 
4 轮 处 理 过 程 ( 如 图 6-9 所 示 ) 构 成 ,每 一 轮 又 由 20 步 迭 代 组 成 。4 轮 处 理 过 程 结构 一 样 ， 
但 所 用 的 基本 逻辑 函数 不 同 ,分 别 表示 为 让 、f;、f;、f,。 每 轮 的 输入 为 当前 处 理 的 消息 
分 组 Y, 和 缓冲 区 的 当前 值 A、B、C、D、E, 输 出 仍 放 在 缓冲 区 以 替代 A、B、.C、.D、E 的 旧 
值 ,每 轮 处 理 过 程 还 需 加 上 一 个 加 法 常量 K, ,其 中 0<t<79 表示 迭代 的 步 数 。80 个 常量 
中 实际 上 只 有 4 个 不 同 取 值 ,如 表 6-7 所 示 , 其 中 [xz 塘 xz 的 整数 部 分 。 

表 6-7 SHA 的 加 法 常量 

和 迭代 步 数 ， | 常量 K,( 十 六 进 制 ) | 天,( 十 进 制 ) | 和 迭代 步 数 + | 常量 K,( 十 六 进 制 ) | K, (十进制 ) 
0<i<19 | 5A827999 | [2»*xV2| | 40<t<59 | 8F1BBCDC | [2* xvy5] 








20<t<39 6ED9EBA1 l2*xy3] | 6o<z<79 CA62C1D6 Ll2"* x VI0J 


第 4 轮 的 输出 ( 即 第 80 步 迭 代 的 输出 ) 再 与 第 1 轮 的 输入 CV。 相 加 ,以 产生 CV,n， 
其 中 加 法 是 缓冲 区 中 5 个 字 中 的 每 一 个 字 与 CV。 中 相应 的 字模 2” 相 加 。 
(5) 输出 。 消 息 的 工 个 分 组 都 被 处 理 完 后 ,最 后 一 个 分 组 的 输出 即 为 160 比特 的 消 
息 摘 要 。 
步骤 (3) 到 步骤 (5) 的 处 理 过 程 可 总 结 如 下 : 
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6-9 SHA 的 分 组 处 理 框 图 


CVo = 1V; 
CV = SUMs, (CV, ,ABCDE.,); 
MD= CV 


其 中 IV 是 第 (3) 步 定义 的 缓冲 区 ABCDE 的 初 值 ,ABCDE, 是 第 g 个 消息 分 组 经 最 后 一 
轮 处 理 过 程 处 理 后 的 输出 ,L 是 消息 (包括 填充 位 和 长 度 字 段 ) 的 分 组 数 ,SUMs 是 对 应 字 
的 模 2 加 法 ,MD 为 最 终 的 摘要 值 。 


642 SHA 的 压缩 函数 


如 上 所 述 ,SHA 的 压缩 函数 由 4 轮 处 理 过 程 组 成 ,每 轮 处 理 过 程 又 由 对 缓冲 区 
ABCDE 的 20 步 达 代 运算 组 成 ,每 一 步 迭代 运算 的 形式 为 ( 见 图 6-10): 

A,B,C,D,E < (E+f.(B,C,D)+CLSs(A)+W,+K,), A,CLS»(B),C,D 
其 中 A、B、.C、D\E 为 缓冲 区 的 5 个 字 , 是 迭代 的 步 数 (0 过 tz 过 79),f,(B,C,D) 是 第 1 步 
迭代 使 用 的 基本 逻辑 函数 ,CLS, 为 左 循环 移 * 位 ,W, 是 由 当前 512 比特 长 的 分 组 导出 的 
一 个 32 比特 长 的 字 ( 导 出 方式 见 下 面 ),K, 是 加 法 常量 ,十 是 模 22 加 法 。 

基本 逻辑 函数 的 输入 为 3 个 32 比特 的 字 ,输出 是 一 个 32 比特 的 字 ,其 中 的 运算 为 逐 
比特 逻辑 运算 , 即 输出 的 第 个 比特 是 3 个 输入 的 相应 比特 的 函数 。 函 数 的 定义 如 表 6-8 
所 示 。 
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图 6-10 SHA 的 压缩 函数 中 一 步 迭代 示意 图 























表 6-8 SHA 中 基本 逻辑 函数 的 定义 














迭代 的 步 数 函 数 名 定义 
0<t<19 f=f.(B,C,D) (BAOV (BAD) 
20<1<39 fi:=/.(B,C,D) BOCOD 
40<t<59 fi=/f.(B,C,D) (BAOV (BAD)V (CAD) 
60<1<79 f=f.(B,C,D) BOCOD 








其 中 入 、V 一、 由 分 别 是 与 或, 非 、. 异 或 4 个 逻辑 运算 ,函数 的 真 值 表 如 表 6-9 所 示 。 
表 6-9 SHA 的 基本 逻辑 函数 的 真 值 表 














B C 了 ni fh fs BCD fi f: ff 
0 0 0 人 1 0 0 i” 
0 0 WE 和 -和 101 @ 0 L'a 
0 1 0 0 二 沪 理 Le UE 
证 玫 了 下 下 下 证 














下 面 说 明 如 何 由 当前 的 输入 分 组 (512 比特 长 ) 导 出 W,(32 比特 长 )。 前 16 个 值 ( 即 
Wo ,Wi，,… ,Wis) 直 接 取 为 输入 分 组 的 16 个 相应 的 字 , 其 余 值 ( 即 Ws, Wi，…, Wo) 
取 为 : 
W, = CLSi (Ws DB Wu DB Ws DW.,;) 
见 图 6-11。 与 MD5 比较 ,MD5 直接 用 一 个 消息 分 组 的 16 个 字 作 为 每 步 迭 代 的 输入 ,而 
SHA 则 将 输入 分 组 的 16 个 字 扩展 成 80 个 字 以 供 压 缩 函 数 使 用 ,从 而 使 得 寻找 具有 相同 
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压缩 值 的 不 同 的 消息 分 组 更 为 困难 。 
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6-11 SHA 分 组 处 理 所 需 的 80 个 字 的 产生 过 程 

















643 SHA 与 VD5 的 比较 


由 于 SHA 与 MD5 都 是 由 MD4 演化 而 来 ,所 以 两 个 算法 极为 相似 。 

(1) 抗 穷 搜 索 攻 击 的 强度 : 由 于 SHA 和 MD5 的 消息 摘要 长 度 分 别 为 160 和 128 ,所 
以 用 穷 搜索 攻击 寻找 具有 给 定 消息 摘要 的 消息 分 别 需 做 0(2%) 和 O(2: ) 次 运算 ,而 用 
穷 搜 索 攻击 找 出 具有 相同 消息 摘要 的 两 个 不 同 消息 分 别 需 做 O(2”) 和 OC(2% ) 次 运算 。 
因此 SHA 抗击 穷 搜 索 攻击 的 强度 高 于 MD5 抗击 穷 搜索 攻击 的 强度 。 

(2) 抗击 密码 分 析 攻 击 的 强度 : 由 于 SHA 的 设计 准则 未 被 公开 ,所 以 它 抗 击 密码 分 
析 攻 击 的 强度 较 难 判断 ,似乎 高 于 MD5 的 强度 。 

(3) 速度 : 由 于 两 个 算法 的 主要 运算 都 是 模 2*” 加 法 ,因此 都 易于 在 32 位 结构 上 实 
现 。 但 比较 起 来 SHA 的 迭代 步 数 (80 步 ) 多 于 MD5 的 迭代 步 数 (64 步 ) ,所 用 的 缓冲 区 
(160 比特 ) 大 于 MD5 使 用 的 缓冲 区 (128 比特 ) ,因此 在 相同 硬件 上 实现 时 ,SHA 的 速度 
慢 于 MD5 的 速度 。 

(4) 简洁 与 紧 致 性 : 两 个 算法 描述 起 来 都 较为 简单 ,实现 起 来 也 较为 简单 ,都 不 需要 
大 的 程序 和 代 换 表 。 

(5) 数据 的 存储 方式 : MD5 使 用 小 端 方式 ,SHA 使 用 大 端 方式 。 两 种 方式 相 比 看 不 
出 哪个 更 具 优 势 , 之 所 以 使 用 两 种 不 同 的 存储 方式 是 因为 设计 者 最 初 实现 各 自 的 算法 时 ， 
使 用 的 机 器 的 存储 方式 不 同 。 


644 对 SHA 的 攻击 现状 


2004 年 ,Joux 找 出 了 SHA-0 的 碰撞 ,他 的 攻击 方法 需要 23 次 运算 。 同 年 Biham 等 
找 出 了 40 步 的 SHA-1 的 碰撞 。2005 年 ,山东 大 学 王小云 等 提出 了 对 SHA-1 的 碰撞 搜 
索 攻击 ,该 方法 用 于 攻击 完全 版 的 SHA-0 时 ,所 需 的 运算 次 数 少 于 2”; 攻 击 58 步 的 
SHA-1 时 ,所 需 的 运算 次 数 少 于 2*。 他 们 还 分 析 指 出 ,用 他 们 的 方法 攻击 70 步 的 SHA-1 
时 ,所 需 的 运算 次 数 少 于 2”; 而 攻击 80 步 的 SHA-1 时 ,所 需 的 运算 次 数 少 于 2”。 
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6.1. 3 节 中 曾 介 绍 过 一 个 MAC 的 例子 一 一 数据 认证 算法 ,该 算法 反映 了 传统 上 构 
造 MAC 最 为 普遍 使 用 的 方法 , 即 基于 分 组 密码 的 构造 方法 。 但 近年 来 研究 构造 MAC 
的 兴趣 已 转移 到 基于 密码 哈 希 函数 的 构造 方法 ,这 是 因为 ， 

(1) 密码 险 希 函数 (如 MD5、 SHA) 的 软件 实现 快 于 分 组 密码 (如 DES) 的 软件 实现 。 

(2) 密码 哈 希 函数 的 库 代 码 来 源 广泛 。 

(3) 密码 哈 希 函数 没有 出 口 限 制 ,而 分 组 密码 即使 用 于 MAC 也 有 出 口 限制 。 

哈 希 函数 并 不 是 为 用 于 MAC 而 设计 的 ,由 于 哈 希 函 数 不 使 用 密 钥 , 因 此 不 能 直接 用 
于 MAC。 目前 已 提出 了 很 多 将 哈 希 函数 用 于 构造 MAC 的 方法 ,其 中 HMAC 就 是 其 中 
之 一 ,已 作为 RFC2104 被 公布 ,并 在 IPSec 和 其 他 网 络 协议 (如 SSL) 中 得 以 应 用 。 


651 HVYAC 的 设计 目标 


RFC2104 列举 了 HMAC 的 以 下 设计 目标 : 

(1) 可 不 经 修改 而 使 用 现 有 的 哈 希 函数 ,特别 是 那些 易于 软件 实现 的 、 源 代码 可 方便 
获取 且 免 费 使 用 的 哈 希 函数 。 

(2) 其 中 镶嵌 的 哈 希 函数 可 易于 替换 为 更 快 或 更 安全 的 哈 希 函 数 。 

(3) 保持 镰 谍 的 哈 希 函数 的 最 初 性 能 ,不 因 用 于 HMAC 而 使 其 性 能 降低 。 

(4) 以 简单 方式 使 用 和 处 理 密 钥 。 

(5) 在 对 灸 谍 的 哈 希 函数 合理 假设 的 基础 上 ,易于 分 析 HMAC 用 于 认证 时 的 密码 
强度 。 

其 中 前 两 个 目标 是 HMAC 被 公众 普遍 接受 的 主要 原因 ,这 两 个 目标 是 将 哈 希 函 数 
当 作 一 个 黑 盒 使 用 ,这 种 方式 有 两 个 优点 : 一 是 哈 希 函数 的 实现 可 作为 实现 HMAC 的 一 
个 模块 ,这 样 一 来 ,HMAC 代码 中 很 大 一 块 就 可 事先 准备 好 ,无 须 修 改 就 可 使 用 ;第 二 个 
优点 是 如 果 HMAC 要 求 使 用 更 快 或 更 安全 的 哈 希 函数 , 则 只 需 用 新 模块 代替 旧 模 块 , 例 
如 用 实现 SHA 的 模块 代替 MD5 的 模块 。 

最 后 一 条 设计 目标 则 是 HMAC 优 于 其 他 基于 哈 希 函数 的 MAC 的 一 个 主要 方面 ， 
HMAC 在 其 镶嵌 的 哈 希 函数 具有 合理 密码 强度 的 假设 下 ,可 证 明 是 安全 的 ,这 一 问题 将 
在 HMAC 的 安全 性 一 节 介绍 。 


652 算法 描述 


图 6-12 是 HMAC 算法 的 运行 框图 ,其 中 瓦 为 嵌入 的 哈 希 函数 (如 MD5、SHA),M 
为 HMAC 的 输入 消息 (包括 喻 希 函 数 所 要 求 的 填充 位 ),Y; (0 三 i<L 一 1) 是 M 的 第 i 个 
分 组 ,L 是 M 的 分 组 数 ,b 是 一 个 分 组 中 的 比特 数 ,n 为 由 嵌入 的 哈 硕 函数 所 产生 的 哈 希 
值 的 长 度 ,K 为 密 钥 ,如 果 密 钥 长 度 大 于 5, 则 将 密 钥 输 入 到 哈 希 函数 中 产生 一 个 n 比特 
长 的 密 钥 ,KK 是 左边 经 填充 0 后 的 K.,K7 的 长 度 为 5b 比特 ,ipad 为 个 00110110,opad 
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2 比特 
Fi 
有 opad 比特 
[ey | H(SIIM) 
4b 比特 | 填充 到 bp 比特 
So | 
IV 化 特 Hash 
7 比特 
HMACAM) 
6-12 HMAC 的 算法 框图 
算法 的 输出 可 表达 如 下 : 
HMAC: = HL(K+@® opad) || HL(K+@ ipad) | MJJ 
算法 的 运行 过 程 可 描述 如 下 : 


(1) K 的 左边 填充 0 以 产生 一 个 5 比特 长 的 K+* (例如 ,K 的 长 为 160 比特 ,0 一 512， 
则 需 填 充 44 个 零 字 节 0z00); 
(2) 天“ 与 ipad 逐 比 特异 或 以 产生 2 比特 的 分 组 S;; 
(3) 将 M 链接 到 S, 后 ; 
(4) 将 互 作 用 于 第 (3) 步 产生 的 数据 流 ; 
(5) K+ 与 opad 逐 比 特异 或 以 产生 2 比特 长 的 分 组 Su; 
(6) 将 第 (4) 步 得 到 的 哈 希 值 链接 在 S。 后 ; 
(7) 将 互 作 用 于 第 (6) 步 产生 的 数据 流 并 输出 最 终结 果 。 
注意 ,KK 与 ipad 逐 比 特异 或 和 与 opad 逐 比 特异 或 其 结果 是 将 K 中 的 一 半 比 特 取 
反 , 但 两 次 取 反 的 比特 的 位 置 不 同 。 而 S; 和 S。 通过 哈 希 函 数 中 压缩 函数 的 处 理 , 则 相当 
于 以 伪 随 机 方式 从 天 产生 两 个 密 钥 。 
在 实现 HMAC 时 ,可 预先 求 出 下 面 两 个 量 ( 见 图 6-13 ,虚线 以 左 为 预计 算 ) : 
FGV,CK+G ipad)) 
FIV,CK+G opad)) 
其 中 f(ecv,block) 是 哈 希 函数 中 的 压缩 函数 ,其 输入 是 n 比特 的 链接 变量 和 6 比特 的 分 
组 ,输出 是 比特 的 链接 变量 。 这 两 个 量 的 预先 计算 只 需 在 每 次 更 改 密 钥 时 才 被 进行 。 
事实 上 这 两 个 预先 计算 的 量 用 于 作为 哈 希 函数 的 初 值 IV。 
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6-13 HMAC 的 有 效 实现 


653 HVYAC 的 安全 性 


基于 密码 哈 希 函数 构造 的 MAC 的 安全 性 取决 于 镶嵌 的 哈 希 函数 的 安全 性 ,而 
HMAC 最 具 吸 引 人 的 地 方 是 它 的 设计 者 已 经 证 明了 算法 的 强度 和 嵌入 的 哈 希 函数 的 强 
度 之 间 的 确切 关系 ,证 明了 对 HMAC 的 攻击 等 价 于 对 内 嵌 哈 希 函 数 的 下 述 两 种 攻击 
之 一 : 

(1) 攻击 者 能 够 计算 压缩 函数 的 一 个 输出 ,即使 IV 是 随机 的 和 秘密 的 。 

(2) 攻击 者 能 够 找 出 哈 希 函数 的 碰撞 ,即使 ITV 是 随机 的 和 秘密 的 。 

在 第 一 种 攻击 中 ,我 们 可 将 压缩 函数 视 为 与 喻 希 函 数 等 价 ,而 喻 希 函 数 的 n 比特 长 
IV 可 视 为 HMAC 的 密 钥 。 对 这 一 哈 希 函数 的 攻击 或 者 可 通过 对 密 钥 的 穷 搜 索 来 进行 
或 者 可 通过 第 开 类 生日 攻击 来 实施 ,通过 对 密 钥 的 穷 搜索 攻击 的 复杂 度 为 0(2") ,通过 第 
下 类 生日 攻击 又 可 归结 为 上 述 第 二 种 攻击 。 

第 二 种 攻击 指 攻击 者 寻找 具有 相同 哈 希 值 的 两 个 消息 ,因此 就 是 第 下 类 生日 攻击 。 
对 哈 希 值 长 度 为 的 哈 希 函数 来 说 ,攻击 的 复杂 度 为 O0(2":)。 因 此 第 二 种 攻击 对 MD5 
的 攻击 复杂 度 为 0(2") ,就 现在 的 技术 来 说 ,这 种 攻击 是 可 行 的 。 但 这 是 否 意味 着 MD5 
不 适合 用 于 HMAC? 回答 是 否定 的 ,原因 如 下 : 攻击 者 在 攻击 MD5 时 ,可 选择 任何 消息 
集合 后 脱 线 寻 找 碰撞 。 由 于 攻击 者 知道 哈 希 算法 和 缺 省 的 IV, 因 此 能 为 自己 产生 的 每 个 
消息 求 出 哈 希 值 。 然 而 ,在 攻击 HMAC 时 ,由 于 攻击 者 不 知道 密 钥 ,从 而 不 能 脱 线 产 
生 消 息 和 认证 码 对 。 所 以 攻击 者 必须 得 到 HMAC 在 同一 密 钥 下 产生 的 一 系列 消息 ,并 
对 得 到 的 消息 序列 进行 攻击 。 对 长 128 比特 的 哈 希 值 来 说 ,需要 得 到 用 同一 密 钥 产生 的 
24 个 分 组 (23 比 特 ) 。 在 1Gbps 的 链 路 上 , 需 250 000 年 ,因此 MD5 完全 适合 于 HMAC， 
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而 且 就 速度 而 言 , 快 于 SHA 作为 内 嵌 哈 希 函 数 的 HMAC。 


SG SM3 哈 希 算法 





SM3 哈 希 算法 是 中 国 国家 密码 管理 局 颁布 的 一 种 密码 哈 希 函数 , 它 也 采用 了 如 图 6-5 
所 示 的 迭代 型 哈 希 算法 的 一 般 结 构 。 


66.1 SMB 哈 希 算 法 的 描述 
算法 的 输入 数据 长 度 为 /比特 ,1 过 /过 2 一 1, 输 出 哈 希 值 长 度 为 256 比特 。 


1. 常量 与 函数 
算法 中 使 用 以 下 常数 与 函数 。 
1) 常量 
初始 值 
IV =7380166F 4914B2B9 172442D7 DA8A0600 A96F30BC 163138AA 
E38DEE4D BOFBOE4E 


常量 
Tt _ 179CC4519， 0<j<15 
人 sa 16<j<63 
2) 函数 
布尔 函数 ; 


X@Y@Z, 0 委 j 委 站 

(XADVXAZV YAZ, 16<j<63 

XY@Z, 0<j<15 

(XAYDYV (XAZ), 16<j<63 

式 中 XY、Z 为 32 位 字 , 人 、V 一、 名 分 别 是 逻辑 与 ,逻辑 或 .逻辑 非 和 逐 比 特异 或 运算 。 
置换 函数 : 


FF,(X,Y ,2) = | 


尼 G)X 议 这 2 二 | 


PAX)=X@(X WO(X 17) 
P(X)=X@(X 15)@(X 23) 
式 中 X 为 32 位 字 , 符 号 a nn 表示 把 a 循环 左 移 位 。 


2 算法 描述 
算法 对 数据 首先 进行 填充 ,再 进行 迭代 压缩 后 生成 哈 希 值 。 
1) 填充 并 附加 消息 的 长 度 
设 消息 m 的 长 度 为 1 比特 ,这 一 步 与 6. 3. 1 节 介绍 的 MD5 算法 相同 。 
2) 迭代 压缩 
将 填充 后 的 消息 m' 按 512 比特 进行 分 组 得 m 二 BY BY …B 7 ,对 m' 按 下 列 方式 
迭代 压缩 : 
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FORi=0toL—1 Ver = CFCVe ,Bo) 
其 中 CF 是 压缩 函数 ,V'@ 为 256 比特 初始 值 IV,B9 为 填充 后 的 消息 分 组 ,迭代 压缩 的 结 
果 为 VD ,VD 即 为 消息 m 的 哈 希 值 。 
3) 消息 扩展 
在 对 消息 分 组 B® 进行 迭代 压缩 之 前 ,首先 对 其 进行 消息 扩展 ,步骤 如 下 : 
(1) 消息 分 组 B® 划分 为 16 个 字 Wo ,Wi ，… ,Wis 。 
(2) FOR j=16 to 67 
Wi;= Pi(Wies DW BW 15)M (Wis OW 
(3) FOR j=0 to 63 
Wi’= W; OW 
Bo 经 消息 扩展 后 得 到 Wo ,Wi ，… ,Wer ,Wo We ,Ws 。 
4) 压缩 函数 
设 A、B、C、.D、E、F、G、H 为 字 寄 存 器 ,SS 、 SS ,TT 、TT: 为 中 间 变 量 , 压缩 函 数 
VD 二 CF(V® ,BF)(0i<n 一 1) 的 计算 过 程 如 下 : 
ABCDEFGH = Ve ; 
FOR j = 0 to 63 
SS 二 ((A 12)+E+(T j)) 7; 
SS, = SS 田 (4A 12); 
TT, = FF)(A,B,C) 十 D 十 SS +W’; 
TTa = GGj(E,F,G)+ H++SS + W,; 


C=B 9; 
B= A; 

A= TT; 
H=G; 
G=F 19; 
F=E; 

E= P,(TT,) 

ENDFOR 


VY = ABCDEFGH ®V® 
其 中 十 为 模 2” 加 运算 , 字 的 存储 为 大 端 格式 。 图 6-14 是 压缩 函数 中 一 步 迭代 示意 图 。 
5) 输出 哈 希 值 


ABCDEFGH = V® 
输出 256 比特 的 哈 希 值 y= 二 ABCDEFGH 。 
图 6-15 是 SM3 的 整体 处 理 过 程 。 


662 SMB 哈 希 算 法 的 安全 性 


压缩 函数 是 哈 希 函数 安全 的 关键 'SM3 的 压缩 函数 CF 中 的 布尔 函数 FF; (X,Y ,2Z) 
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图 6-15 SM3 产生 消息 哈 希 值 的 处 理 过 程 


和 GG;(X,Y,Z) 是 非 线 性 函数 ,经 过 循环 迭代 后 提供 混淆 作用 。 和 置换 函数 Pu (X) 和 
Pi1(X) 是 线性 函数 ,经 过 循环 迭代 后 提供 扩散 作用 。 再 加 上 CF 中 的 其 他 运算 的 共同 作 


用 ,压缩 函数 CF 具有 很 高 的 安全 性 ,从 而 确保 SM3 具有 很 高 的 安全 性 。 
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习 题 


1. 6.1.3 节 介绍 的 数据 认证 算法 是 由 CBC 模式 的 DES 定义 的 ,其 中 初始 向 量 取 为 
0, 试 说 明 使 用 CFB 模式 也 可 获得 相同 结果 。 

2. 有 很 多 哈 希 函数 是 由 CBC 模式 的 分 组 加 密 技 术 构 造 的 ,其 中 的 密 钥 取 为 消息 分 
组 。 例 如 ,将 消息 M 分 成 分 组 Mi ,M;,… ,My ,Ho 二 初 值 ,迭代 关系 为 H; 二 Ev (万 -四 
Hi_1(i 二 1,2,… ,NN), 哈 希 值 取 为 如 ,其 中 已 是 分 组 加 密 算法 。 

(1) 设 E 为 DES, 第 3 章 的 习题 已 证 明 如 果 对 明文 分 组 和 加 密 密 钥 都 逐 比特 取 补 , 那 
么 得 到 的 密 文 也 是 原 密 文 的 逐 比特 取 补 , 即 如 果 Y= 二 DESk (X), 那 么 Y’==DESk (X )。 
利用 这 一 结论 证 明 在 上 述 哈 希 函 数 中 可 对 消息 进行 修改 但 却 保持 哈 希 值 不 变 。 

(2) 若 和 迭代 关系 改 为 H; 二 En_, (Mi; )@M; ,证 明 仍 可 对 其 进行 上 述 攻击 。 

3. 考虑 用 公 钥 加 密 算法 构造 哈 希 函数 , 设 算法 是 RSA, 将 消息 分 组 后 用 公开 钥 加 密 
第 一 个 分 组 ,加 密 结 果 与 第 二 个 分 组 异 或 后 ,再 对 其 加 密 ,一 直下 去 。 设 一 个 消息 被 分 成 
两 个 分 组 B, 和 B, ,其 喻 希 值 为 了 H(Bi,B,) 一 RSA (RSA(Bi) 旬 B,)。 证 明 对 任 一 分 组 
Ci 可 选 C* ,使 得 所 (C,C: ) 二 HH(Bi,B,)。 证 明 用 这 种 攻击 法 ,可 攻击 上 述 用 公 钥 加 密 
算法 构造 的 哈 希 函数 。 

4. 在 图 6-11 中 ,假定 有 80 个 32 比特 长 的 字 用 于 存储 每 一 个 W,, 因 此 在 处 理 消息 
分 组 前 ,可 预先 计算 出 这 80 个 值 。 为 节省 存储 空间 ,考虑 用 16 个 字 的 循环 移 位 寄存 器 ， 
其 初 值 存储 前 16 个 值 ( 即 Wo ,Wi ，…Wis) ,设计 一 个 算法 计算 以 后 的 每 一 W,。 

5. 对 SHA, 计 算 Wis ,Wiz ,Wis ,Who 。 

6. 设 waazasai 是 32 比特 长 的 字 中 的 4 个 字 节 ,每 一 a; 可 看 作 由 二 进 制 表示 的 0 一 
255 之 间 的 整数 ,在 大 端 方式 中 ,该 字 表示 整数 wm 22# 十 oa 2 十 as28 十 ou ,在 小 端 结构 中 ,该 
字 表 示 整 数 ea,22# 十 as2185 十 az28 十 ai 。 

(1) MD5 使 用 小 端 结构 , 因 消 息 的 摘要 值 不 应 依赖 于 算法 所 用 的 结构 ,因此 在 MD5 
中 为 了 对 以 大 端 方 式 存储 的 两 个 字 X=zizzzsz 和 YY 二 yi yzyays 进行 模 2 加 法 运算 , 必 
须 对 这 两 个 字 进 行 调整 , 问 如 何 进行 ? 

(2) SHA 使 用 大 端 方式 , 问 如 何 对 以 小 端 结构 存储 的 两 个 字 X 和 YY 进行 模 2 加 法 


运算 。 
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第 7 意 
”数字 签名 和 认证 协议 











数字 签名 由 公 钥 密码 发 展 而 来 , 它 在 网 络 安全 ,包括 身份 认证 ,数据 完整 性 、 不 可 否认 
性 以 及 匿名 性 等 方面 有 着 重要 应 用 。 本 章 首先 介绍 数字 签名 的 基本 概念 和 一 些 常 用 的 数 
字 签 名 算法 ,然后 介绍 认证 协议 。 


71 ”数字 签名 的 基本 概念 











711 数字 签名 应 满足 的 要 求 


第 6 章 介绍 的 消息 认证 的 作用 是 保护 通信 双方 以 防 第 三 方 的 攻击 ,然而 却 不 能 保护 
通信 双方 中 的 一 方 防止 另 一 方 的 欺骗 或 伪造 。 通 信 双 方 之 间 也 可 能 有 多 种 形式 的 欺骗， 
例如 ,通信 双方 A 和 B( 设 A 为 发 方 ,B 为 收 方 ) 使 用 图 6-1 所 示 的 消息 认证 码 的 基本 方式 
通信 , 则 可 能 发 生 以 下 欺骗 : 

(1) B 伪造 一 个 消息 并 使 用 与 A 共享 的 密 钥 产生 该 消息 的 认证 码 , 然 后 声称 该 消息 
来 自 于 A。 

(2) 由 于 B 有 可 能 伪造 A 发 来 的 消息 ,所 以 A 就 可 以 对 自己 发 过 的 消息 予以 否认 。 

这 两 种 欺骗 在 实际 的 网 络 安全 应 用 中 都 有 可 能 发 生 ,例如 ,在 电子 资金 传输 中 , 收 方 
增加 收 到 的 资金 数 ,并 声称 这 一 数目 来 自发 方 。 又 如 ,用 户 通 过 电子 邮件 向 其 证 券 经 纪 人 
发 送 对 某 笔 业务 的 指令 ,以 后 这 笔 业 务 赔钱 了 ,用 户 就 可 否认 曾 发 送 过 相应 的 指令 。 

因此 在 收发 双方 未 建立 起 完全 的 信任 关系 且 存 在 利害 冲突 的 情况 下 ,单纯 的 消息 认 
证 就 显得 不 够 。 数 字 签 名 技术 则 可 有 效 解决 这 一 问题 。 类 似 于 手书 签名 ,数字 签名 应 具 
有 以 下 性 质 : 

(1) 能 够 验证 签名 产生 者 的 身份 .以 及 产生 签名 的 日 期 和 时 间 。 

(2) 能 用 于 证 实 被 签 消息 的 内 容 。 

(3) 数字 签名 可 由 第 三 方 验证 ,从 而 能 够 解决 通信 双方 的 争议 。 

由 此 可 见 , 数 字 签名 具有 认证 功能 。 为 实现 上 述 3 条 性 质 , 数 字 签 名 应 满足 以 下 
要 求 ， 

(1) 签名 的 产生 必须 使 用 发 方 独 有 的 一 些 信息 以 防伪 造 和 否认 。 

(2) 签名 的 产生 应 较为 容易 。 

(3) 签名 的 识别 和 验证 应 较为 容易 。 

(4) 对 已 知 的 数字 签名 构造 一 个 新 的 消息 或 对 已 知 的 消息 构造 一 个 假冒 的 数字 签名 
在 计算 上 都 是 不 可 行 的 。 
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712 数字 签名 的 产生 方式 
数字 签名 的 产生 可 用 加 密 算法 或 特定 的 签名 算法 。 


1. 由 加 密 算法 产生 数字 签名 

利用 加 密 算 法 产生 数字 签名 是 指 将 消息 或 消息 的 摘要 加 密 后 的 密 文 作为 对 该 消息 的 
数字 签名 ,其 用 法 又 根据 单 钥 加 密 还 是 公 钥 加 密 有 所 不 同 。 

1) 单 钥 加 密 

如 图 7-1(a) 所 示 ,发 送 方 A 根据 单 钥 加 密 算法 以 与 接收 方 B 共 享 的 密 钥 K 对 消息 
M 加 密 后 的 密 文 作为 对 M 的 数字 签名 发 往 B。 该 系统 能 向 B 保证 所 收 到 的 消息 的 确 来 
自 A, 因 为 只 有 A 知道 密 钥 K。 再 者 B 恢 复出 M 后 ,可 相信 M 未 被 算 改 ,因为 敌手 不 知 
道 K 就 不 知 如 何 通 过 修改 密 文 而 修改 明文 。 具 体 来 说 ,就 是 B 执 行 解密 运算 Y= Dk (X)， 
如 果 X 是 合法 消息 M 加 密 后 的 密 文 , 则 也 得 到 的 Y 就 是 明文 消息 M ,否则 Y 将 是 无 意义 
的 比特 序列 。 


发 送 方 接收 方 


M -| ~(D) ~ M 


EA(M) tx 























(a) 单 钥 加 密 : 保密 性 和 认证 性 
M @ -| | @ ~ M 
SKA EC) pKA 


(b) 公 钥 加 密 : 认证 性 和 签字 


小 9 - 重 一 9 站 -oO -oO 下 


| Esk,(M) EprolEsk,(M)] Esk,(M) | 
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SK PKs 
(0) 公 钥 加 密 : 保密 性 、 认 证 性 和 签字 


图 7-1 消息 加 密 产 生 数 字 签名 的 基本 方式 


2) 公 钥 加 密 

如 图 7-1(b) 所 示 ,发 方 A 使 用 自己 的 秘密 钥 SKA 对 消息 M 加 密 后 的 密 文 作为 对 
M 的 数字 签名 ,B 使 用 A 的 公开 钥 PK 对 消息 解密 ,由 于 只 有 A 才 拥有 加 密 密 钥 SKA， 
因此 可 使 B 相信 自己 收 到 的 消息 的 确 来 自 A。 然 而 由 于 任何 人 都 可 使 用 A 的 公开 钥 解 
密 密 文 ,所 以 这 种 方案 不 提供 保密 性 。 为 提供 保密 性 ,A 可 用 B 的 公开 钥 再 一 次 加 密 , 如 
图 7-1(c) 所 示 。 

下 面 以 RSA 签名 体制 为 例 说 明 数 字 签 名 的 产生 过 程 。 

(1) 体制 参数 。 

选 两 个 保密 的 大 素数 p 和 9g, 计算 n= 二 pXg,qp(7) 二 (p 一 1)(g 一 1); 选 一 个 整数 。, 满 
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足 1 一 e<<p(z) , 且 gcdCp(z) ,e) 一 1; 计 算 d, 满 足 d*e 三 lmod qg(n); 以 pk 二 {nn,e) 为 公开 
钥 ,sk 二 {d,n) 为 秘密 钥 。 
(2) 签名 过 程 。 
设 消息 为 M, 对 其 签名 为 
o= Mmodn 

(3) 验证 过 程 。 

收 方 在 收 到 消息 M 和 签名 a 后 ,验证 M 震 wmod n 是 否 成 立 ,车 成 立 , 则 发 方 的 签名 
有 效 。 

实际 应 用 时 ,数字 签名 是 对 消息 摘要 加 密 产 生 ,而 不 是 直接 对 消息 加 密 产 生 , 如 图 6-3(a)、 
(b) 、(c) 、(d) 所 示 。 

由 加 密 算法 产生 数字 签名 又 分 为 外 部 保密 方式 和 内 部 保密 方式 ,外 部 保密 方式 是 指 
数字 签名 是 直接 对 需要 签名 的 消息 生成 而 不 是 对 已 加 密 的 消息 生成 ,否则 称 为 内 部 保密 
方式 。 外 部 保密 方式 便于 解决 争议 ,因为 第 三 方 在 处 理 争议 时 , 需 得 到 明文 消息 及 其 签 
名 。 但 如 果 采 用 内 部 保密 方式 ,第 三 方 必须 得 到 消息 的 解密 密 钥 后 才能 得 到 明文 消息 。 
如 果 采 用 外 部 保密 方式 ,接收 方 就 可 将 明文 消息 及 其 数字 签名 存储 下 来 以 备 以 后 万 一 出 
现 争 议 时 使 用 。 


2 由 签名 算法 产生 数字 签名 

签名 算法 (在 某 一 消息 空间 ) 可 用 多 项 式 时 间 算 法 的 三 元 组 (SigGen, Sig, Ver) 

(1) 密 钥 生成 (SigGen): 是 一 个 随机 化 算法 ,输入 为 安全 参数 ,输出 密 钥 对 (vk， 
sk) ,其 中 sk 是 签名 密 钥 ,vk 是 验证 密 钥 。 

(2) 签名 (Sig): 是 一 个 随机 化 算法 ,输入 签名 密 钥 sk 和 要 签名 的 消息 ME ,输出 
一 个 签名 c( 表 示 为 c 一 Sigw(CM) ) 。 

(3) 验证 (Ver) : 是 一 个 确定 性 算法 .输入 验证 密 钥 vk、 签 名 的 消息 ME ”和 签名 o， 
输出 True 或 False(True 表示 签名 有 效 ,False 表示 无 效 ) 。 表 示 为 
True， o= Sigu(M) 
False, oA Sigu (M) 

算法 的 安全 性 在 于 从 M 和 = 难以 推出 密 钥 zx 或 伪造 一 个 消息 M' 使 (o,M ) 可 被 验证 
为 真 。 


713 数字 签名 的 执行 方式 
数字 签名 的 执行 方式 有 两 类 : 直接 方式 和 具有 仲裁 的 方式 。 


1 直接 方式 
直接 方式 是 指数 字 签 名 的 执行 过 程 只 有 通信 双方 参与 ,并 假定 双方 有 共享 的 秘密 钥 
或 接收 一 方 知道 发 送 方 的 公开 钥 。 
直接 方式 的 数字 签名 有 一 个 公共 弱点 , 即 方案 的 有 效 性 取决 于 发 送 方 秘密 钥 的 安全 
性 。 如 果 发 送 方 想 对 已 发 出 的 消息 予以 否认 ,就 可 声称 自己 的 秘密 钥 已 丢失 或 被 盗 , 因 此 
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自己 的 签名 是 他 人 伪造 的 。 可 采取 某 些 行政 手段 ,虽然 不 能 完全 但 可 在 某 种 程度 上 减弱 
这 种 威胁 。 例 如 ,要 求 每 一 被 签 的 消息 都 包含 有 一 个 时 间 戳 (日 期 和 时 间 ) 并 要 求 密 钥 丢 
失 后 立即 向 管理 机 构 报 告 。 这 种 方式 的 数字 签名 还 存在 发 送 方 的 秘密 钥 真 的 被 偷 的 危 
险 , 例 如 ,敌手 在 时 刻 工 偷 得 发 送 方 的 秘密 钥 , 然 后 可 伪造 一 个 消息 ,用 偷 得 的 秘密 钥 为 
其 签名 并 加 上 工 以 前 的 时 刻 作为 时 间 戳 。 


2 具有 仲裁 方式 的 数字 签名 

上 述 直 接 方 式 的 数字 签名 所 具有 的 威胁 都 可 通过 使 用 仲裁 者 得 以 解决 。 和 直接 方式 
的 数字 签名 一 样 ,具有 仲裁 方式 的 数字 签名 也 有 很 多 实现 方案 ,这 些 方 案 都 按 以 下 方式 运 
行 : 发 方 X 对 发 往 收 方 Y 的 消息 签名 后 ,将 消息 及 其 签名 先 发 给 仲裁 者 A,A 对 消息 及 
其 签名 验证 完 后 ,再 连同 一 个 表示 已 通过 验证 的 指令 一 起 发 往 接收 方 Y。 此 时 由 于 A 的 
存在 ,X 无 法 对 自己 发 出 的 消息 予以 否认 。 在 这 种 方式 中 ,仲裁 者 起 着 重要 的 作用 并 应 取 
得 所 有 用 户 的 信任 。 

以 下 是 具有 仲裁 方式 数字 签名 的 几 个 实例 ,其 中 X 表示 发 送 方 ,Y 表示 接收 方 ,A 是 
仲裁 者 ,M 是 消息 ,X~~Y: M 表 示 X 给 Y 发 送 一 个 消息 M。 

【 例 7-1】 签名 过 程 如 下 : 

(1) X-~A: MI Er, LIDx | HCOM)]J 

(2) A>Y: Er LIDx | MI Er, LIDx | HCM)J 1 TJ 

其 中 是 单 钥 加 密 算法 ,Kxs 和 Kay 分 别 是 X 与 A 共享 的 密 钥 和 A 与 Y 共享 的 密 
钥 ,HCMD 是 M 的 哈 希 值 , 工 是 时 间 截 ,IDx 是 X 的 身份 。 

在 (1) 中 ,X 以 Ek, [IDx | HCMD ] 作 为 自己 对 M 的 签名 ,将 M 及 签名 发 往 A。 在 
(2) 中 ,A 将 从 X 收 到 的 内 容 和 IDx、T 一 起 加 密 后 发 往 Y, 其 中 的 本 用 于 向 Y 表示 所 发 
的 消息 不 是 旧 消 息 的 重 放 。Y 对 收 到 的 内 容 解密 后 。 将 解密 结果 存储 起 来 以 备 出 现 争议 
时 使 用 。 

如 果 出 现 争 议 ,Y 可 声称 自己 收 到 的 M 的 确 来 自 X, 并 将 

Exrsy [LIDx | M | ExwLIDx || HCM)J] 
发 给 A, 由 A 仲裁 ,A 由 Kay 解 密 后 ,再 用 Kx 和 对 Er, [IDx | HCMD] 解密 ,并 对 HCM) 
加 以 验证 ,从 而 验证 了 XX 的 签名 。 

在 以 上 过 程 中 ,由 于 YY 不知 Kx ,因此 不 能 直接 检查 X 的 签名 ,但 Y 认为 消息 来 自 于 
A 因而 是 可 信 的 。 所 以 整个 过 程 中 ,A 必须 取得 X 和 YY 的 高 度 信 任 : 

。X 相信 A 不 会 泄露 Kx ,并 且 不 会 伪造 X 的 签名 。 

* 立 相信 A 只 有 在 对 Eksv[LIDx | M1 Ex LIDx HCMDJ] TTT 中 的 哈 希 值 及 X 的 

签名 验证 无 误 后 才 将 之 发 给 Y。 

。X\Y 都 相信 A 可 公正 地 解决 争议 。 

如 果 A 已 取得 各 方 的 信任 , 则 X 就 能 相信 没有 人 能 伪造 自己 的 签名 ,Y 就 可 相信 X 
不 能 对 自己 的 签名 予以 否认 。 

本 例 中 消息 M 是 以 明文 形式 发 送 的 ,因此 未 提供 保密 性 ,下 面 两 个 例 可 提供 保 
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【 例 7-2】 签名 过 程 如 下 : 

(1) X>A: IDx | Exw[M] | Ex LIDx | HCEx,, [MI] 

(2) A>Y: Erxy [LIDx ‖ Er LM]J ‖ Er, LIDx | HOE [MDJ NT] 

其 中 Kxy 是 X、Y 共享 的 密 钥 ,其 他 符号 与 例 7-1 相同 。X 以 Ex [IDx eH(Exryy [LMJ)] 
作为 对 M 的 签名 ,与 由 Kxy 加 密 的 消息 M 一 起 发 给 A。A 对 Ek [IDx | H(Ex, [MJ])] 
解密 后 通过 验证 哈 希 值 以 验证 X 的 签名 ,但 始终 未 能 读 取 明文 M。A 验证 完 X 的 签名 
后 ,对 X 发 来 的 消息 加 一 个 时 间 戳 ,再 用 Kx 加 密 后 发 往 Y。 解 决 争议 的 方法 与 例 7-1 
一 样 。 
本 例 虽然 提供 了 保密 性 ,但 还 存在 与 例 7-1 相同 的 一 个 问题 , 即 仲裁 者 可 和 发 送 方 共 
谋 以 否认 发 送 方 曾 发 过 的 消息 ,也 可 和 接收 方 共 谋 以 伪造 发 送 方 的 签名 。 这 一 问题 可 通 
过 下 例 所 示 的 采用 公 钥 加 密 技术 得 以 解决 。 

【 例 7-3】 签名 过 程 如 下 : 

(1) X->A: IDx | Es LIDx | Erk, [Esrx [MJ]J 

(2) A>Y: Esk [IDx | Erxy LEsx, [MJ || T] 

其 中 SKA 和 SKx 分 别 是 A 和 X 的 秘密 钥 ,PKv 是 Y 的 公开 钥 , 其 他 符号 与 前 两 例 
相同 。 第 (1) 步 中 ,X 用 自己 的 秘密 钥 SKx 和 YY 的 公开 钥 PKy 对 消息 加 密 后 作为 对 
M 的 签名 ,以 这 种 方式 使 得 任何 第 三 方 (包括 A) 都 不 能 得 到 M 的 明文 消息 。A 收 到 X 
发 来 的 内 容 后 ,用 X 的 公开 钥 可 对 Esk、 [IDx 上 Epxr, [LEsk.LM]]] 解 密 , 并 将 解密 得 到 的 
IDx 与 收 到 的 IDx 加 以 比较 ,从 而 可 确信 这 一 消息 是 来 自 于 X 的 ( 因 只 有 X 有 SKx)。 第 
(2) 步 ,A 将 X 的 身份 IDx 和 X 对 M 的 签名 加 上 一 个 时 间 惟 后 ,再 用 自己 的 秘密 钥 加 密 
发 往 Y。 

与 前 两 种 方案 相 比 ,第 三 种 方案 有 很 多 优点 。 首 先 , 在 协议 执行 以 前 ,各 方 都 不 必 有 
共享 的 信息 ,从 而 可 防止 共 谋 。 其 次 ,只 要 仲裁 者 的 秘密 钥 不 被 泄露 ,任何 人 包括 发 方 就 
不 能 发 送 重 放 的 消息 。 最 后 ,对 任何 第 三 方 (包括 A) 来 说 ,X 发 往 Y 的 消息 都 是 保密 的 。 


73 数字 签名 标准 





数字 签名 标准 (Digital Signature Standard,DSS) 是 由 美国 NIST 公布 的 联邦 信息 处 
理 标准 FIPS PUB 186 ,其 中 采用 了 第 6 章 介 绍 的 SHA 和 一 种 新 的 签名 技术 , 称 为 DSA 
(Digital Signature Algorithm) 。DSS 最 初 于 1991 年 公布 ,在 考虑 了 公众 对 其 安全 性 的 反 
馈 意见 后 ,于 1993 年 公布 了 其 修改 版 。 


721 DSS 的 基本 方式 


首先 将 DSS 与 RSA 的 签名 方式 做 一 个 比较 。RSA 算法 既 能 用 于 加 密 和 签名 ,又 能 
用 于 密 钥 交换 。 与 此 不 同 ,DSS 使 用 的 算法 只 能 提供 数字 签名 功能 。 图 7-2 用 于 比较 
RSA 签名 和 DSS 签名 的 不 同方 式 : 
采用 RSA 签名 时 ,将 消息 输入 到 一 个 哈 希 函数 以 产生 一 个 固定 长 度 的 安全 哈 希 值 , 再 
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7-2 RSA 签名 与 DSS 签名 的 不 同方 式 


用 发 送 方 的 秘密 钥 加 密 哈 希 值 就 形成 了 对 消息 的 签名 。 消 息 及 其 签名 被 一 起 发 给 接收 方 ， 
接收 方 得 到 消息 后 再 产生 出 消息 的 哈 希 值 , 且 使 用 发 送 方 的 公开 钥 对 收 到 的 签名 解密 。 这 
样 接收 方 就 得 了 两 个 哈 希 值 ,如 果 两 个 哈 希 值 是 一 样 的 , 则 认为 收 到 的 签名 是 有 效 的 。 

DSS 签名 也 利用 一 个 喻 希 函 数 产 生 消 息 的 一 个 喻 希 值 , 喻 希 值 连同 一 随机 数 k 一 起 
作为 签名 函数 的 输入 ,签名 函数 还 需 使 用 发 方 的 秘密 钥 SKA 和 供 所 有 用 户 使 用 的 一 组 参 
数 , 这 一 组 参数 称 为 全 局 公开 钥 PRc。 签 名 函数 的 两 个 输出 s 和 就 构成 了 消息 的 签名 
Cs,r)。 接 收 方 收 到 消息 后 再 产生 出 消息 的 哈 希 值 , 将 哈 希 值 与 收 到 的 签名 一 起 输入 验证 
函数 ,验证 函数 还 需 输入 全 局 公开 钥 PKc 和 发 送 方 的 公开 钥 PKA 。 验 证 函数 的 输出 如 果 
与 收 到 的 签名 成 分 + 相等 , 则 验证 了 签名 是 有 效 的 。 


722 数字 签名 算法 DSA 


DSA 是 在 EIGamal 和 Schnorr 两 个 签名 方案 ( 见 7.2.3 节 ) 的 基础 上 设计 的 ,其 安全 
性 基于 求 离散 对 数 的 困难 性 。 
算法 描述 如 下 : 
(1) 全 局 公开 钥 。 
p: 满足 2 一 :< 加 < 25 的 大 素数 ,其 中 512 二 L1024 且 工 是 64 的 倍数 。 
g: p 一 1 的 素 因 子 ,满足 2” 过 g 二 21%, 即 gq 长 为 160 比特 。 
g: 8 三 h%-n4mod p, 其 路 是 满足 1<=h 二 p 一 1 且 使 得 hr?*-?mod p 之 1 的 任 一 整数 。 
(2) 用 户 秘密 钥 zx。 
工 是 满足 0 二 zx 过 g 的 随机 数 或 伪 随机 数 。 
(3) 用 户 的 公开 钥 y。 
y 三 gmod p。 
(4) 用 户 为 待 签 消息 选取 的 秘密 数 。 
& 是 满足 0 二 kg 的 随机 数 或 伪 随 机 数 。 
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(5) 签名 过 程 。 
用 户 对 消息 M 的 签名 为 (r,s), 其 中 r 圭 (g*mod p)mod g,s 三 [k (万 COM) 十 zr)] 
mod gq,H(MD) 是 由 SHA 求 出 的 哈 希 值 。 
(6) 验证 过 程 。 
设 接收 方 收 到 的 消息 为 M ,签名 为 (”,* )。 计 算 
w=(s) modg, w=[H(M)w]modg, 
us =rwmodg, v=[(g"y")mod plmodg。 
检查 uv 二 , 若 相等 , 则 认为 签名 有 效 。 这 是 因为 车 (M ,rs 一 CM,r's), 则 
v=[(g" Mg™)mod pjmod d 三 [gntanD mod plmod g 
三 (g*mod p)mod gr 
算法 的 框图 如 图 7-3 所 示 , 其 中 的 4 个 函数 分 别 为 : 
s 三 fi [HM ,kr ,rqg] [Lk (HM) ar) Jmod gq; 
r= f: (k,p,q,g8) = (gt:mod p)mod gq; 
w= fs (s,q) = (s) mod g; 
v= fi(y,qrgr H(M’) ,wr ) [gM I my ums) mod pjmod g 
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(a) 签名 过 程 (b) 验证 过 程 
7-3 ”DSA 的 框图 


由 于 离散 对 数 的 困难 性 ,敌手 从 7 恢复 或 从 ;恢复 x 都 是 不 可 行 的 。 

还 有 一 个 问题 值得 注意 , 即 签名 产生 过 程 中 的 运算 主要 是 求 ~ 的 模 指数 运算 -一 
(g*mod p)mod g, 而 这 一 运算 与 待 签 的 消息 无 关 , 因 此 能 被 预先 计算 。 事 实 上 ,用 户 可 以 
预先 计算 出 很 多 x 和 A& 一 以 备 以 后 的 签名 使 用 ,从 而 可 大 大 加 快 产 生 签名 的 速度 。 


7.3 ”其 他 签名 方案 





73.1 基于 离散 对 数 问 题 的 数字 签名 体制 


基于 离散 对 数 问 题 的 数字 签名 体制 是 数字 签名 体制 中 最 为 常用 的 一 类 ,其 中 包括 
ElGamal 签名 体制 .DSA 签名 体制 .Okamoto 签名 体制 等 。 
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1. 离散 对 数 签名 体制 
ElGamal、DSA 、Okamoto 等 签名 体制 都 可 归结 为 离散 对 数 签名 体制 的 特例 。 
1) 体制 参数 
p: 大 素数 ; 
: p 一 1 或 p 一 1 的 大 素 因 子 ; 
: gkRZ? , 且 g' 二 1(mod p), 其 中 2Z; 二 2Z, 一 {0); 
: 用 户 A 的 秘密 钥 ,1<=x<=gq; 
y: 用 户 A 的 公开 钥 ,y 硅 g*(mod p)。 
2) 签名 的 产生 过 程 
对 于 待 签名 的 消息 m, A 执行 以 下 步骤 : 
(1) 计算 m 的 哈 希 值 H Gm); 
(2) 选择 随机 数 &: 1 二 k 二 gq, 计算 rr 三 g* (mod p); 
(3) 从 签名 方程 ak 夺 5b 十 cr(mod gq) 中 解 出 s。 方 程 的 系数 a、b、c 有 许多 种 不 同 的 选 
择 方法 , 表 7-1 给 出 了 这 些 可 能 选择 中 的 一 小 部 分 。 以 (r,s) 作为 产生 的 数字 签名 。 


表 7-1 参数 .bc 可 能 的 置换 取 值 表 


9 mo 

















和 主 e = H(m) 
土 x'H (m) 本 5 | 
土 "H (im) 土 H(m)s 1 
士 H(m)r’ 士 rs 1 
土 H(m)s 二 zs 1 








3) 签名 的 验证 过 程 
接收 方 在 收 到 消息 mx 和 签名 (r,s) 后 ,可 以 按照 以 下 验证 方程 检验 : 
Ver(y, (r,s) sm) = TrueSr = gy (mod p) 


2. 日 Gamal 签名 体制 
1) 体制 参数 
Pp: 大 素数 ; 
g: Z2 的 一 个 生成 元 ; 
Zr: 用 户 A 的 秘密 钥 ,z<-kZ) ; 
y: 用 户 A 的 公开 钥 ,y 三 g”(mod p)。 
2) 签名 的 产生 过 程 
对 于 待 签名 的 消息 mA 执行 以 下 步 又: 
(1) 计算 m 的 哈 希 值 H Gm); 
(2) 选择 随机 数 &: k<-kZi_1, 计 算 r 圭 g* (mod p); 
(3) 计算 ; 圭 (HGm) 一 xD)k 1(mod p 一 1)。 
189 


mm 现代 密码 学 (第 4 版 ) EGG 


以 (r,s) 作 为 产生 的 数字 签名 。 

3) 签名 验证 过 程 

接收 方 在 收 到 消息 m 和 数字 签名 (r,s) 后, 先 计算 态 (m) ,并 按 下 式 验证 ; 
Ver(y, (r,s),H(m)) = TrueSyr’ = g*™ (mod p) 

正确 性 可 由 下 式 证 明 : 


yrr = gg 三 get = gH (mod p) 


3. Schnorr 签名 体制 
1) 体制 参数 
Pp: 大 素数 ,p 宇 2 ; 
gq: 大 素数 ,g|(p 一 1) ,g 之 2'”; 
g: gkRZL; , 且 gl1(mod p); 
zz: 用 户 A 的 秘密 钥 ,1 二 x 二 gq; 
y: 用 户 A 的 公开 钥 ,y 三 g”(mod p)。 
2) 签名 的 产生 过 程 
对 于 待 签 名 的 消息 m,A 执行 以 下 步骤 : 
QO@ 选择 随机 数 A: 1 二 k<gq, 计 算 r 寺 g* (mod p); 
@ 计 算 e=H(r,m); 
@ 计算 ;三 ze 十 k(mod gq)。 
以 (e,s) 作 为 产生 的 数字 签名 。 
3) 签名 验证 过 程 
接收 方 在 收 到 消息 m 和 数字 签名 (e,s) 后 , 先 计 算 三 gr*y“(mod p), 然 后 计算 
HH(r,m) ,并 按 下 式 验证 
Ver(y, (ess) sm) = TrueSH(r ,m) 一 e 
其 正确 性 可 由 下 式 证 明 ， 
r= gy"=g""*=g=r(mod p) 


4 Neberg-Rueppel 签名 体制 

该 体制 是 一 个 消息 恢复 式 签名 体制 , 即 验 证 人 可 从 签名 中 恢复 出 原始 消息 ,因此 签名 
人 不 需要 将 被 签 消息 发 送 给 验证 人 。 

1) 体制 参数 

pp: 大 素数 ; 

gq: 大 素数 ,gq| (p 一 1); 

g: gkRZ; , 且 gl1(mod p); 

z: 用 户 A 的 秘密 钥 ,x<kZ; ; 

y: 用户 A 的 公开 钥 ,y 圭 g”(mod p)。 

2) 签名 的 产生 过 程 

对 于 待 签名 的 消息 m,A 执行 以 下 步骤 : 

(1) 计算 出 区 = 二 ROm) ,其 中 R 是 一 个 单一 映射 ,并 且 容 易 求 逆 , 称 为 元 余 函 数 ; 
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(2) 选择 一 个 随机 数 &(0 二 k 二 gq) ,计算 r 寺 gmod p; 
(3) 计算 e 寺 mr(mod p); 
(4) 计算 s 寺 ze 十 k(mod gq)。 
以 (e,s) 作为 对 m 的 数字 签名 。 
3) 签名 的 验证 过 程 
接收 方 收 到 数字 签名 (r,s) 后 ,通过 以 下 步骤 来 验证 签名 的 有 效 性 : 
(1) 验证 是 否 0<e<p; 
(2) 验证 是 否 0 三 * 二 0; 
(3) 计算 v=g'y “(mod p); 
(4) 计算 m' 夺 ve(mod p); 
(5) 验证 是 否 m'E€ RCm) ,其 中 RCm) 表示 R 的 值 域 ; 
(6) 恢复 出 m= 二 R71 Gm )。 
这 个 签名 体制 的 正确 性 可 以 由 以 下 等 式 证 明 : 
m 一 ve(mod p)= gy “e(modp)= gi"e(modp)=ge(modp)= 充 


5 Qkancto 签名 体制 


1) 体制 参数 
p: 大 素数 , 且 p 宇 25 
gq: 大 素数 ,gl (p 一 1), 且 g 宇 2'"; 
Bl1\g82: 两 个 与 gq 同 长 的 随机 数 ; 
zx: 用 户 A 的 秘密 钥 , 两 个 小 于 g 的 随机 数 ; 
y: 用 户 A 的 公开 钥 ,y 三 gi "gz** (mod p)。 
2) 签名 的 产生 过 程 
对 于 待 签名 的 消息 m,A 执行 以 下 步 又: 
(1) 选择 两 个 小 于 g 的 随机 数 &1 ,ks 一 RZ ; 
(2) 计算 哈 希 值 : e 三 H(ghi gh (mod p),m); 
(3) 计算 : 5 三 (ki 十 ex1) (mod gq); 
(4) 计算 : ss 寺 (ks 十 exs)(mod gq)。 
以 (e,s1 ,ss) 作为 对 m 的 数字 签名 。 
3) 签名 的 验证 过 程 
接收 方 在 收 到 消息 m 和 数字 签名 (e,s1,ss) 后 ,通过 以 下 步骤 来 验证 签名 的 有 
效 性 : 
(1) 计算 v==g? g2 y' (mod p); 
(2) 计算 e = 二 Hv,m); 
(3) 验证 : Ver(y,(e,si,52),m) 二 TrueSSe’ 二 e。 
其 正确 性 可 通过 下 式 证 明 : 
v= gig?y (mod p) = gh gh gi ga™ (mod p) = ghigh (mod p) 
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732 基于 大 数 分 解 问题 的 数字 签名 体制 


设 n 是 一 个 大 合 数 , 找 出 的 所 有 素 因 子 是 一 个 困难 问题 ,这 称 为 大 数 分 解 问题 。 下 
面 介绍 的 两 个 数字 签名 体制 都 基于 这 个 问题 的 困难 性 。 


1. Fiat-Shanir 签名 体制 

1) 体制 参数 

n: n 二 pq, 其 中 p 和 g 是 两 个 保密 的 大 素数 ; 

&: 固定 的 正 整数 。 

yy my: 用 户 A 的 公开 钥 , 对 任何 i(1 三 ik) ,y; 都 是 模 n 的 平方 剩余 ; 

Xi1T2，"" ,Th: 用 户 A 的 秘密 钥 , 对 任何 i(1 志 i 才 ) ,x; 三 Vy;' (mod n); 

2) 签名 的 产生 过 程 

对 于 待 签名 的 消息 m,A 执行 以 下 步骤 : 

(1) 随机 选取 一 个 正 整数 7; 

(2) 随机 选取 zt 个 1~n 之 间 的 数 记 ,7 ，… ,7,, 并 对 任何 j (1 过 j 过 四, 计算 Rj 地 
(mod n); 

(3) 计算 哈 希 值 电 Gn ,Ri ,Rs,…,R,) ,并 依次 取出 及 (mm,Ri ,Rs,…,R,) 的 前 kt 个 比 
特 值 yp, 

大 
(4) 对 任何 j(1 过 j<<D) ,计算 5 三 x 了 [ x% (mod ); 


OD DDD Db ，… ,5 )) 作 为 对 m 的 数字 签名 。 

3) 签名 的 验证 过 程 

接收 方 在 收 到 消息 mx 和 签名 (CO 03020200 oO ) ys)) 后 ， 
用 以 下 步骤 来 验证 ， 


大 
(1) 对 任何 jsj ,计算 R’ 二 5 | yw% (mod ); 
i=1 
(2) 计算 HOm,Ri ,Rs ,…,R’); 
(3) 验证 0 0 0 babu，…… ,bu 是 否 依次 是 电 (m,Ri,Rs,…,R,) 的 前 


kt 个 比特 。 如 果 是 , 则 以 上 数字 签名 是 有 效 的 。 
正确 性 可 以 由 以 下 算式 证 明 : 


上 娄 
R’=s? 。 Ty (mod n) = (wT a% ) ' IT 2 
i=1 i=l 人 
大 
=r?. [[ (ziy)% = = Rmodn) 
i=1 


2 Quillou-Quisquater 签名 体制 
1) 体制 参数 
n: n=pqp 和 g 是 两 个 保密 的 大 素数 。 
v: gcd(v,(p—1)(g—1))=1; 
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>z: 用 户 A 的 秘密 钥 ,z<kZ; ; 
y: 用 户 A 的 公开 钥 ,y€EZ; , 且 x*y 圭 1(mod n) 
2) 签名 的 产生 过 程 
对 于 待 签 消息 m,A 进行 以 下 步骤 ; 
(1) 随机 选择 一 个 数 &<-gZ; ,计算 T 三 k* (mod n); 
(2) 计算 哈 希 值 : e 二 HH(m, 了 T), 且 使 1<<e=<wv; 否 则 返回 步骤 (1); 
(3) 计算 ;二 kx*mod n。 
以 (e,s) 作 为 对 m 的 签名 。 
3) 签名 的 验证 过 程 
接收 方 在 收 到 消息 m 和 数字 签名 (e,s) 后 ,用 以 下 步骤 来 验证 : 
(1) 计算 出 T' 夺 sy?y“(mod n); 
(2) 计算 出 e =HOm,T'); 
(3) 验证 : Ver(y,(e,s),m) 二 TrueSe’ 二 e。 
正确 性 可 由 以 下 算式 证 明 : 
T=yy(mod n) = (kr )y(modn)=k" (ry)(modn) 
三 k*(mod n)=T 


733 基于 身份 的 数字 签名 体制 


1. 日 Gamal 签名 体制 
1) 体制 参数 
设 g 是 大 素数 ,G1 、Gs 分 别 是 阶 为 gq 的 加 法 群 和 乘法 群 ,2: G1 XG 一 Gs 是 一 个 双 线 
性 映射 ,Hi : {0,1)" 一 G? 和 有 ;: Gs 一 {0,1)" 是 两 个 哈 希 函数 ,s 呈 krZ; 是 系统 的 主 密 钥 ， 
P 是 G1 的 一 个 生成 元 。 用 户 ID 的 公开 钥 和 秘密 钥 分 别 是 Qw 二 Hi (ID)EG? 和 
dp 一 sQmn 。 
2) 签名 的 产生 过 程 
对 于 待 签名 的 消息 m,A 执行 以 下 步 又; 
(1) 选择 随机 数 &: k<-kZi 。 
(2) 计算 7 
(3) 计算 S 寺 (Hs (m)P 十 zrd ww)k-!。 
以 (R,S) 作 为 产生 的 数字 签名 。 
3) 签名 验证 过 程 
接收 方 在 收 到 消息 m 和 数字 签名 (R,S) 后 . 先 计 算 妃 ; (mm) ,并 按 下 式 验证 : 
Ver(Qw,(R,S),H;(m)) = TrueSe(R,S) = é(P,P)® "IE( Pb, QD) 
正确 性 可 由 下 式 证 明 : 
E(R,S) =é (kP,(H;(m)P+ zd) 一 E(P,P) 下 CE (P,Q )’e’ 
=é (P,P)™ "Ee (Pow ,QD )™ 
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2 Schnorr 签名 体制 

1) 体制 参数 

体制 参数 与 上 述 EIGamal 签名 体制 的 参数 相同 。 

2) 签名 的 产生 过 程 

对 于 待 签 名 的 消息 m,A 执行 以 下 步 又: 

(1) 选择 随机 数 &: Rk<-kZi ,计算 ”一 2c(Qm ,AP) 一 c(Qm,P)。 

(2) 计算 c= Hi(r,m)。 

(3) 计算 S=cdw 十 k&Qwp== (cs 十 k)Qw。 

以 (c,S) 作 为 产生 的 数字 签名 。 

3) 签名 验证 过 程 

接收 方 在 收 到 消息 m 和 数字 签名 (c,S) 后 , 先 计算 二 6(S,P)e(Qn ,一 cPow) ,然后 
计算 昌 ; (x ,m) ,并 按 下 式 验 证 

Ver(Qn ,(c,S) ,也 (rm)) = TrueSH(r’ mm) 一 < 
其 正确 性 可 由 下 式 证 明 : 
r’ =é(S,P)é (Qiw,—cPpw) =é ((c tk)QD,P)E (Qo,— csP) 
三 上 (Qnp,P)“ 二 沦 (Qmn,P) 


7.4 ”SM2 椭圆 曲线 公 钥 密码 签名 算法 





SM2 椭圆 曲线 公 钥 密码 加 密 算 法 见 4. 8 节 , 本 节 介 绍 SM2 椭圆 曲线 公 钥 密码 的 数 
字 签 名 算法 。 


1 基本 参数 
与 4.8 节 SM2 椭圆 曲线 公 钥 密码 加 密 算 法 的 参数 设置 相同 。 


2 密 钥 产 生 

设 签名 方 是 A,A 的 秘密 钥 / 公 开 钥 的 产生 方式 与 4. 8 节 SM2 椭圆 曲线 公 钥 密码 加 
密 算法 接收 方 B 的 产生 方式 相同 ,分 别 记 为 ds 和 Pa 二 (xa ,ya)。 

设 ID 是 A 的 长 度 为 entlena 比特 的 标识 ,ENTLaA 是 由 entlena 转换 而 成 的 两 个 字 
节 ,A 计算 Z 和 二 Hzse (ENTLA IDa 上 all6l ze 上 ye 目 zxa ys), 其 中 a。 是 椭圆 曲线 方 
程 的 参数 (zc ,ye) 是 基点 G 的 坐标 ,za 、ya 是 Pa 的 坐标 。 这 些 值 转换 为 比特 串 后 ,再 用 
太 zss 。 验 证 方 B 验证 签名 时 ,也 需 计 算 Z。。 


3. 签名 算法 
设 待 签名 的 消息 为 M,A 做 以 下 运算 : 
(1) 取 M=2Z。 | Mi; 
(2) 计算 。 一 HH,(MD) ,将 。 转 换 为 整数 ,时 ,是 输出 为 v 比特 长 的 哈 希 函数 ; 
(3) 用 随机 数 发 生 器 产生 随机 数 &<-g{1,2,…,n 一 1); 
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(4) 计算 椭圆 曲线 点 Ci 二 kG= (zi1,y1); 

(5) 计算 r=(e 十 x1)mod n, 车 r= 二 0 或 r 十 k= 二 nn, 则 返回 (3); 

(6) 计算 :一 ((1 十 La) 。，(k 一 r， da))mod n, 若 s 二 0, 则 返回 (3); 
(7) 消息 M 的 签名 为 (r,s) 。 

图 7-4 是 SM2 签名 算法 的 流程 图 。 


4 验证 算法 

B 收 到 消息 M' 及 其 签名 (~ ,*) 后 ,执行 以 下 验证 运算 : 

(1) 检验 x*E[1,n 一 1] 是 否 成 立 , 若 不 成 立 , 则 验证 不 通过 ; 

(2) 检验 sE[1,n 一 1] 是 否 成 立 , 若 不 成 立 , 则 验证 不 通过 ; 

(3) 置 M=Zs | M'; 

(4) 计算 e = 日 ,CM ) ,将 e' 转换 为 整数 ; 

(5) 计算 t=(Y 十 s)mod n, 若 1 二 0, 则 验证 不 通过 ; 

(6) 计算 椭圆 曲线 点 (x1 ,yf) = 二 s'G 十 +:Pa; 

(7) 计算 R=(e 十 zf)mod n, 检 验 R=x 是 否 成 立 , 若 成 立 , 则 验证 通过 ;否则 验证 不 通过 。 
图 7-5 是 SM2 签名 验证 算法 流程 图 。 
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正确 性 : 如 果 M 一 M, (r,s ) 二 (r,s), 则 e 二 e, 要 证 R=r 二 7r, 只 需 证 xz 一 zi 。 
XI1= szetra = sret (ri+s)zra = ste (r+s)daze 
一 (* 十 rdA 十 sdA)zce 王 (ss(1 十 daA) 十 radA)zc 
一 (& 一 rdA 十 rdA)zc 王 ARzc 王 2 


7.5 ”认证 协议 





6.1 节 介 绍 过 消息 认证 的 基本 概念 ,事实 上 安全 可 靠 的 通信 除 需 进行 消息 的 认证 外 ， 
还 需 建立 一 些 规范 的 协议 对 数据 来 源 的 可 靠 性 .通信 实体 的 真实 性 加 以 认证 ,以 防止 其 
骗 、 伪 装 等 攻击 。 本 节 就 网 络 通信 的 一 个 基本 问题 的 解决 介绍 认证 协议 的 基本 含义 ,这 一 
基本 问题 陈述 如 下 : A 和 B 是 网 络 的 两 个 用 户 , 他 们 想 通 过 网 络 先 建立 安全 的 共享 密 钥 
再 进行 保密 通信 。 那 么 A(B) 如 何 确信 自己 正在 和 B(A) 通 信和 而 不 是 和 C 通信 呢 ? 这 种 
通信 方式 为 双向 通信 ,因此 此 时 的 认证 称 为 相互 认证 。 类 似 地 ,对 于 单 向 通信 来 说 ,认证 
称 为 单 向 认证 。 


751 相互 认证 


A.B 两 个 用 户 在 建立 共享 密 钥 时 需要 考虑 的 核心 问题 是 保密 性 和 实时 性 。 为 了 防 
止 会 话 密 钥 的 伪造 或 泄露 ,会 话 密 钥 在 通信 双方 之 间 交 换 时 应 以 密 文 形式 ,所 以 通信 双方 
事先 就 应 有 密 钥 或 公开 钥 。 实 时 性 则 对 防止 消息 的 重 放 攻 击 极为 重要 ,实现 实时 性 的 一 
种 方法 是 对 交换 的 每 一 条 消息 都 加 上 一 个 序列 号 ,一 个 新 消息 仅 当 它 有 正确 的 序列 号 时 
才 被 接收 。 但 这 种 方法 的 困难 性 在 于 要 求 每 个 用 户 分 别 记录 与 其 他 每 一 用 户 交 换 的 消息 
的 序列 号 ,从 而 增加 了 用 户 的 负担 ,所 以 序列 号 方法 一 般 不 用 于 认证 和 密 钥 交换 。 保 证 消 
息 的 实时 性 常用 以 下 两 种 方法 : 

(1) 时 间 戳 。 如 果 A 收 到 的 消息 包括 一 个 时 间 戳 , 且 在 A 看 来 这 一 时 间 戳 充分 接近 
自己 的 当前 时 刻 ,A 才 认 为 收 到 的 消息 是 新 的 并 接受 之 。 这 种 方案 要 求 所 有 各 方 的 时 钟 
是 同步 的 。 

(2) 询问 -应 答 : 用 户 A 向 B 发 出 一 个 一 次 性 随机 数 作为 询问 ,如 果 收 到 B 发 来 的 消 
息 ( 应 答 ) 也 包含 一 个 正确 的 一 次 性 随机 数 ,A 就 认为 B 发 来 的 消息 是 新 的 并 接收 之 。 

其 中 时 间 蕉 法 不 能 用 于 面向 连接 的 应 用 过 程 ,这 是 由 于 时 间 蕉 法 在 实现 时 固有 的 困 
难 性 。 首 先是 需要 在 不 同 的 处 理 器 时 钟 之 间 保 持 同步 ,那么 所 用 的 协议 必须 是 容错 的 ,以 
处 理 网 络 错误 ;并 且 是 安全 的 ,以 对 付 恶意 攻击 。 第 二 ,如 果 协 议 中 任 一 方 的 时 钟 出 现 错 
误 而 暂时 地 失去 了 同步 , 则 将 使 敌手 攻击 成 功 的 可 能 性 增加 。 最 后 还 由 于 网 络 本 身 存 在 
着 延迟 ,因此 不 能 期 望 协议 的 各 方 能 保持 精确 的 同步 。 所 以 任何 基于 时 间 截 的 处 理 过 程 、 
协议 等 都 必须 允许 同步 有 一 个 误差 范围 。 考 虑 到 网 络 本 身 的 延迟 ,误差 范围 应 足够 大 , 考 
虑 到 可 能 存在 的 攻击 ,误差 范围 又 应 足够 小 。 

而 询问 -应 答 方 式 则 不 适合 于 无 连接 的 应 用 过 程 ,这 是 因为 在 无 连接 传输 以 前 需 经 询 
问 -应 答 这 一 额外 的 握手 过 程 ,与 无 连接 应 用 过 程 的 本 质 特 性 不 符 。 对 无 连接 的 应 用 程序 
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来 说 ,利用 某 种 安全 的 时 间 服 务 器 保持 各 方 时 钟 同步 是 防止 重 放 攻 击 最 好 的 方法 。 
通信 双方 建立 共享 密 钥 时 可 采用 单 钥 加 密 体制 和 公 钥 加 密 体 制 。 


1. 单 钥 加 密 体制 

正如 5. 1 节 所 介绍 的 ,采用 单 钥 加 密 体制 为 通信 双方 建立 共享 的 密 钥 时 ,需要 有 一 个 
可 信和 的 密 钥 分 配 中 心 KDC, 网 络 中 每 一 用 户 都 与 KDC 有 一 个 共享 的 密 钥 , 称 为 主 密 钥 。 
KDC 为 通信 双方 建立 一 个 短期 内 使 用 的 密 钥 , 称 为 会 话 密 钥 , 并 用 主 密 钥 加 密会 话 密 钥 
后 分 配给 两 个 用 户 。 这 种 分 配 密 钥 的 方式 在 实际 应 用 中 较为 普遍 采用 ,如 第 10 章 介绍 的 
Kerberos 系统 采用 的 就 是 这 种 方式 。 

5.1 节 中 图 5-1 所 示 的 采用 KDC 的 密 钥 分 配 过 程 , 可 用 以 下 协议 ( 称 为 Needham- 
Schroeder 协议 ) 来 描述 : 

(1) A>KDC: IDA | IDs | N， 

(2) KDC—™A: Exr, [Ks | IDs | Ni Er,[LKs lIDa]] 


(3) A—>B: Ex,[LKs | IDA] 
(4) B>A: Exs LN:] 
(5) A™>B: Exs Lf CN2)] 


其 中 Ks、Ks 分 别 是 A、B 与 KDC 共享 的 主 密 钥 。 协 议 的 目的 是 由 KDC 为 A、B 安 
全 地 分 配 会 话 密 钥 Ks ,A 在 第 (2) 步 安全 地 获得 了 Ks, 而 第 (3) 步 的 消息 仅 能 被 B 解读 ， 
因此 B 在 第 (3) 步 安全 地 获得 了 Ks ,第 (4) 步 中 了 向 A 示意 自己 已 掌握 Ks,Ns 用 于 向 A 
询问 自己 在 第 (3) 步 收 到 的 Ks 是 否 为 一 个 新 会 话 密 钥 ,第 (5) 步 A 对 也 的 询问 作出 应 答 ， 
一 方面 表示 自己 已 掌握 Ks, 另 一 方面 由 f(N;) 回 答 了 Ks 的 新 鲜 性 。 可 见 第 (4)、(5) 两 
步 用 于 防止 一 种 类 型 的 重 放 攻 击 ,比如 敌手 在 前 一 次 执行 协议 时 截获 第 (3) 步 的 消息 , 然 
后 在 这 次 执行 协议 时 重 放 , 如 果 双 方 没有 第 (4)、(5) 两 步 的 握手 过 程 的 话 ,B 就 无 法 检查 
出 自己 得 到 的 Ks 是 重 放 的 旧 密 钥 。 

然而 以 上 协议 却 易 遭受 另 一 种 重 放 攻 击 ,假定 敌手 能 获取 旧 会 话 密 钥 , 则 冒充 A 向 
B 重 放 第 (3) 步 的 消息 后 ,就 可 欺骗 B 使 用 旧 会 话 密 钥 。 敌 手 进一步 截获 第 (4) 步 B 发 出 
的 询问 后 ,可 假冒 A 作出 第 (5) 步 的 应 答 。 进 而 ,敌手 就 可 冒充 A 使 用 经 认证 过 的 会 话 密 
钥 向 B 发送 假 消息 。 

为 克服 以 上 弱点 ,可 在 第 (2) 步 和 第 (3) 步 加 上 一 个 时 间 蕉 ,协议 如 下 : 

(1) A>KDC: IDa | IDs 

(2) KDC—>A: Ex [Ks IDs | TI Er, LKs ID TJ] 


(3) A>B: Exs LKs | IDa | TJ 
(4) B>A: ErsLN'] 
(5) A™>B: ErsLfCN1)] 


其 中 工 是 时 间 戳 ,用 于 向 A、B 双方 保证 Ks 的 新 鲜 性 。A 和 B 可 通过 下 式 检 查 丁 的 
实时 性 : 
| Clock—T |< At 十 Atz 
其 中 Clock 为 用 户 (A 或 B) 本 地 的 时 钟 .Ati 是 用 户 本 地 时 钟 和 KDC 时 钟 误差 的 估计 值 ， 
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Ab 是 网 络 的 延迟 时 间 。 

以 上 协议 中 由 于 工 是 经 主 密 钥 加 密 , 所 以 敌手 即使 知道 旧 会 话 密 钥 ,并 在 协议 过 去 
执行 期 间 截获 第 (3) 步 的 结果 ,也 无 法 成 功 地 重 放 给 B, 因 B 对 收 到 的 消息 可 通过 时 间 戳 
检查 其 是 否 为 新 的 。 

以 上 改进 还 存在 以 下 问题 : 方案 主要 依赖 网 络 中 各 方 时 钟 的 同步 ,这 种 同步 可 能 会 
由 于 系统 故障 或 计时 误差 而 被 破坏 。 如 果 发 送 方 的 时 钟 超前 于 接收 方 的 时 钟 ,敌手 就 可 
截获 发 送 方 发 出 的 消息 ,等 待 消息 中 时 间 戳 接近 于 接收 方 的 时 钟 时 ,再 重 发 这 个 消息 。 这 
种 攻击 称 为 等 待 重 放 攻击 。 

抗击 等 待 重 放 攻 击 的 一 种 方法 是 要 求 网 络 中 各 方 以 KDC 的 时 钟 为 基准 定期 检查 并 
调整 自己 的 时 钟 , 另 一 种 方法 是 使 用 一 次 性 随机 数 的 握手 协议 ,因为 收 方向 发 送 方 发 出 询 
问 的 随机 数 是 他 人 无 法 事先 预测 的 ,所 以 敌手 即使 实施 等 待 重 放 攻击 ,也 可 被 下 面 的 握手 


协议 检查 出 。 
下 面 的 协议 可 解决 Needham-Schroeder 协议 以 及 改进 的 协议 可 能 遭受 的 攻击 : 
(1) A™>B: IDA || Na 


(2) B>KDC: IDs| Ns | Er, [IDA | Na Ts] 

(3) KDC—>A: Ex, [IDs | Na Ks Ts Er, LIDa | Ks 1 Taj Na 

(4) A>B: Exs [LIDa || Ks | Te] | Exs [Ns] 

协议 的 具体 含义 如 下 : 

(1) A 将 新 产生 的 一 次 性 随机 数 NA 与 自己 的 身份 IDA 一 起 以 明文 形式 发 往 B, NA 
以 后 将 与 会 话 密 钥 Ks 一 起 以 加 密 形式 返回 给 A, 以 保证 A 收 到 的 会 话 密 钥 的 新 鲜 性 。 

(2) B 向 KDC 发 出 与 A 建立 会 话 密 钥 的 请 求 , 表 示 请 求 的 消息 包括 B 的 身份 ,一 次 
性 随机 数 Ns 以 及 由 B 与 KDC 共享 的 主 密 钥 加 密 的 数据 项 。 其 中 Ns 以 后 将 与 会 话 密 
钥 一 起 以 加 密 形 式 返回 给 B, 以 向 B 保证 会 话 密 钥 的 新 鲜 性 ,请 求 中 由 主 密 钥 加 密 的 数据 
项 用 于 指示 KDC 向 A 发 出 一 个 证 书 , 其 中 的 数据 项 有 证 书 接收 者 A 的 身份 .B 建议 的 证 
书 截止 时 间 Ts、B 从 A 收 到 的 一 次 性 随机 数 。 

(3) KDC 将 B 产 生 的 Ns 连同 由 KDC 与 B 共 享 的 密 钥 Ks 加 密 的 IDA | Ks | Ta 一 
起 发 给 A, 其 中 Ks 是 KDC 分 配 的 会 话 密 钥 ,Exk, LID。 上 Ks i Ts] 由 A 当 作 票 据 用 于 以 
后 的 认证 。KDC 向 A 发 出 的 消息 还 包括 由 KDC 与 A 共享 的 主 密 钥 加 密 的 IDs ‖ Na | 
Ks | Ts ,A 用 这 一 消息 可 验证 B 已 收 到 第 (1) 步 发 出 的 消息 (通过 IDs) ,A 还 能 验证 这 一 
步 收 到 的 消息 是 新 的 (通过 NA) ,这 一 消息 中 还 包括 KDC 分 配 的 会 话 密 钥 Ks 以 及 会 话 
密 钥 的 截止 时 间 Ts。 

(4) A 将 票据 Ek, [IDA | Ks | Te] 连同 由 会 话 密 钥 加 密 的 一 次 性 随机 数 Ns 发 往 B， 
B 由 票据 得 到 会 话 密 钥 Ks ,并 由 Ks 得 Ns。Ns 由 会 话 密 钥 加 密 的 目的 是 B 认证 了 自己 
收 到 的 消息 不 是 一 个 重 放 而 的 确 是 来 自 于 A。 

以 上 协议 为 A、B 双方 建立 共享 的 会 话 密 钥 提供 了 一 个 安全 有 效 的 手段 。 再 者 ,如 果 
A 保留 由 协议 得 到 的 票据 ,就 可 在 有 效 时 间 范 围 内 不 再 求助 于 认证 服务 器 而 由 以 下 方式 
实现 双方 的 新 认证 : 

(1) A>B: Ex, [LID, | Ks | Ts], Ns 
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(2) B>A: Ne,Exs LNA] 

(3) A—>B: Ex, [LN$] 

B 在 第 (1) 步 收 到 票据 后 ,可 通过 Ts 检验 票据 是 否 过 时 ,而 新 产生 的 一 次 性 随机 数 
NA、Ns 则 向 双方 保证 了 没有 重 放 攻击 。 

以 上 协议 中 时 间 期 限 Ts 是 也 根据 自己 的 时 钟 定 的 ,因此 不 要 求 各 方 之 间 的 同步 。 


2 公 钥 加 密 体制 

第 5 章 曾 介绍 过 使 用 公 钥 加 密 体制 分 配 会 话 密 钥 的 方法 ,下 面 的 协议 也 用 于 这 个 
目的 。 

(1) A>AS: IDa | IDs 

(2) AS 一 A: Esx,s LIDA | PKA TI Esk [IDa | PKs | TT] 

(3) A 一 B， Esk [IDA | PKA TI Esk,s LIDs | PKs | TJ 

| Eprs LEsr, LKs | TJ] 

其 中 SKas 、SK。 分 别 是 AS 和 A 的 秘密 钥 ,PKA、PKa 分 别 是 A 和 B 的 公开 钥 ,E 为 
公 钥 加 密 算法 ,AS 是 认证 服务 器 (Authentication Server)。 第 (1) 步 ,A 将 自己 的 身份 及 
和 欲 通信 的 对 方 的 身份 发 送 给 AS。 第 (2) 步 ,AS 发 给 A 的 两 个 链接 的 数据 项 都 是 由 自己 
的 秘密 钥 加 密 ( 即 由 AS 签名 ) ,分 别 作为 发 放 给 通信 双方 的 公 钥 证 书 。 第 (3) 步 ,A 选取 
会 话 密 钥 并 经 自己 的 秘密 钥 和 B 的 公开 钥 加 密 后 连同 两 个 公 钥 证 书 一 起 发 往 B。 因 会 话 
密 钥 是 由 A 选取 ,并 以 密 文 形式 发 送 给 B, 因 此 包括 AS 在 内 的 任何 第 三 者 都 无 法 得 到 会 
话 密 钥 。 时 间 戳 工 用 于 防止 重 放 攻 击 ,所 以 需要 各 方 的 时 钟 是 同步 的 。 

下 一 协议 使 用 一 次 性 随机 数 ,因此 不 需要 时 钟 的 同步 : 

(1) A>KDC: IDA | IDa 

(2) KDC—>A: Esx,, [LIDs | PKs] 

(3) A™>B: Eprs LNa || IDA] 

(4) B>KDC: IDs | IDa | Err,, LNa] 

(5) KDC™>B: Esx, LIDa | PKA] | Evr, LEsr, ,LNa | Ks | 1Ds]] 

(6) B>A: Epr, LEsx,, LNa | Ks | IDe] | Ns] 

(7) A—>B: ErsLNs] 

其 中 SKau 和 PKavu 分 别 是 KDC 的 秘密 钥 和 公开 钥 , 第 (1) 步 ,A 通知 KDC 他 想 和 B 
建立 安全 连接 ;第 (2) 步 ,KDC 将 B 的 公 钥 证 书 发 给 A, 公 钥 证 书包 括 经 KDC 签名 的 了 的 
身份 和 公 钥 ;第 (3) 步 ,A 告诉 B 想 与 他 通信 ,并 将 自己 选择 的 一 次 性 随机 数 NA 发 给 B; 
第 (4) 步 ,B 向 KDC 发 出 得 到 A 的 公 钥 证 书 和 会 话 密 钥 的 请 求 , 请 求 中 由 KDC 的 公开 钥 
加 密 的 NA 用 于 让 KDC 将 建立 的 会 话 密 钥 与 NA 联系 起 来 ,以 保证 会 话 密 钥 的 新 鲜 性 ; 
第 (5) 步 .KDC 向 B 发 出 A 的 公 钥 证 书 以 及 由 自己 的 秘密 钥 和 B 的 公开 钥 加 密 的 三 元 组 
{Na ,Ks,IDs} ,三 元 组 由 KDC 的 秘密 钥 加 密 , 可 使 B 验证 三 元 组 的 确 是 由 KDC 发 来 的 ， 
由 B 的 公开 钥 加 密 是 防止 他 人 得 到 三 元 组 后 假冒 B 建立 与 A 的 连接 ;第 (6) 步 ,B 新 产生 
一 个 一 次 性 随机 数 Ns 连同 上 一 步 收 到 的 由 KDC 的 秘密 钥 加 密 的 三 元 组 一 起 经 A 的 公 
开 钥 加 密 后 发 往 A; 第 (7) 步 ,A 取出 会 话 密 钥 ,再 由 会 话 密 钥 加 密 Ns 后 发 往 B, 以 使 B 
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知道 A 已 掌握 会 话 密 钥 。 
以 上 协议 可 进一步 改进 : 在 第 (5)、(6) 两 步 出 现 NA 的 地 方 加 上 IDA 以 说 明 NA 的 确 
是 由 A 产生 的 而 不 是 其 他 人 产生 的 ,这 时 {IDs, Na) 就 可 唯一 地 识别 A 发 出 的 连接 请 求 。 


752 单 向 认证 


电子 邮件 等 网 络 应 用 有 一 个 最 大 的 优点 就 是 不 要 求 收发 双方 同时 在 线 , 发 送 方 将 邮 
件 发 往 接收 方 的 信箱 ,邮件 在 信箱 中 存 着 ,直到 接收 方 阅读 时 才 打 开 。 邮 件 消息 的 报头 必 
须 是 明文 形式 以 使 SMTP(Simple Mail Transfer Protocol, 简 单 邮件 传输 协议 ) 或 X. 400 
等 存储 -转发 协议 能 够 处 理 。 然 而 通常 都 不 希望 邮件 处 理 协议 要 求 邮件 的 消息 本 身 是 明 
文 形式 ,否则 就 要 求 用 户 对 邮件 处 理 机 制 的 信任 。 所 以 用 户 在 进行 保密 通信 时 , 需 对 邮件 
消息 进行 加 密 以 使 包括 邮件 处 理 系统 在 内 的 任何 第 三 者 都 不 能 读 取 邮 件 的 内 容 。 再 者 邮 
件 接收 者 还 希望 对 邮件 的 来 源 即 发 送 方 的 身份 进行 认证 ,以 防 他 人 的 假冒 。 与 双向 认证 
一 样 ,下 面 仍 分 为 单 钥 加 密 和 公 钥 加 密 两 种 情况 来 考虑 。 


1. 单 钥 加 密 

对 诸如 电子 邮件 等 单 向 通信 来 说 ,图 5-2 所 示 的 无 中 心 的 密 钥 分 配 情况 不 适用 。 因 
为 该 方案 要 求 发 送 方 给 接收 方 发 送 一 请 求 , 并 等 到 接收 方 发 回 一 个 包含 会 话 密 钥 的 应 答 
后 , 才 向 接收 方 发 送 消息 ,所 以 本 方案 与 接收 方 和 发 送 方 不 必 同 时 在 线 的 要 求 不 符 。 在 
图 5-1 所 示 的 情况 中 去 掉 第 (4) 步 和 第 (5) 步 就 可 满足 单 向 通信 的 两 个 要 求 。 协 议 如 下 : 

(1) A>KDC: IDA || IDs || Ni 

(2) KDC—>A: Ex, [Ks | IDs | N 1 Ex, LKs | IDA J]] 

(3) A>B: ExrsLKs |‖ IDA] Ers LM] 

本 协议 不 要 求 B 同时 在 线 , 但 保证 了 只 有 B 能 解读 消息 ,同时 还 提供 了 对 消息 的 发 
方 A 的 认证 。 然 而 本 协议 不 能 防止 重 放 攻 击 ,为 此 需 在 消息 中 加 上 时 间 戳 ,但 由 于 电子 
邮件 处 理 中 的 延迟 ,时 间 戳 的 作用 极为 有 限 。 


2 公 钥 加 密 

公 钥 加 密 算 法 可 对 发 送 的 消息 提供 保密 性 认证 性 或 既 提供 保密 性 又 提供 认证 性 ,为 
此 要 求 发 送 方 知道 接收 方 的 公开 钥 ( 保 密 性 ) ,或 要 求 接收 方 知道 发 送 方 的 公开 钥 ( 认 证 
性 ) ,或 要 求 每 一 方 都 知道 男 一 方 的 公开 钥 。 

如 果 主 要 关心 保密 性 , 则 可 使 用 以 下 方式 : 

A>B: Errs [Ks] | Ers LM] 
其 中 A 用 B 的 公开 钥 加 密 一 次 性 会 话 密 钥 ,用 一 次 性 会 话 密 钥 加 密 消息 。 只 有 B 能 够 使 
用 相应 的 秘密 钥 得 到 一 次 性 会 话 密 钥 ,再 用 一 次 性 会 话 密 钥 得 到 消息 。 这 种 方案 比 简单 
地 用 也 的 公开 钥 加 密 整 个 消息 要 有 效 得 多 。 

如 果 主 要 关心 认证 性 , 则 可 使 用 以 下 方式 : 

A~B: M| Esk [HCVMD] 

这 种 方式 可 实现 对 A 的 认证 ,但 不 提供 对 M 的 保密 性 。 如 果 既 要 提供 保密 性 又 要 
提供 认证 性 ,可 使 用 以 下 方式 : 
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A>B: Erx, [LM | Esk LHCM) J] 

后 两 种 情况 要 求 B 知道 A 的 公开 钥 并 确信 公开 钥 的 真实 性 。 为 此 A 还 需 同 时 向 B 
发 送 自 己 的 公 钥 证 书 , 表 示 为 : 

A>B: M| Es [HW] Bs LT | ID, || PKA] 
或 

A™B: Epr, LM | Esx\ LECM 了 1 下 sk [LT IIDA || PKA] 
其 中 EsksLT1 ID | PKA] 是 认证 服务 器 AS 为 A 签署 的 公 钥 证 书 。 


习 题 


1. 在 DSS 数字 签名 标准 中 , 取 如 一 83 一 2X41 十 1,g 一 41,/ 一 2, 于 是 g 硅 2: 二 4 mod 
83, 若 取 z==57, 则 y 三 g* 夺 457 二 77 mod 83。 在 对 消息 M=56 签名 时 ,选择 二 23, 计 算 
签名 并 进行 验证 。 

2. 在 DSA 签名 算法 中 ,参数 泄露 会 产生 什么 后 果 ? 
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第 8 章 
密码 协议 


密码 协议 是 指 利用 密码 工具 实现 与 安全 相关 的 协议 或 函数 的 计算 。 本 章 介 绍 的 密码 
协议 包括 数字 承诺 ,不 经 意 传输 、 零 知识 证 明 安全 多 方 计算 。 


ei 一 些 基 本 协议 





8.1.1 智力 扑克 


假设 两 个 人 A 和 B 通过 计算 机 网 络 进 行 智力 扑克 比赛 ,比赛 中 不 用 第 三 方 做 裁判 。 
发 牌 者 可 由 任 一 方 担任 ,发 牌 过 程 应 满足 以 下 要 求 : 

(1) 任 一 副 牌 ( 即 发 给 参赛 和 人员 手中 的 牌 ) 是 等 可 能 的 。 

(2) 发 到 A、B 手 中 的 牌 是 没有 重复 的 。 

(3) 每 人 都 知道 自己 手中 的 牌 ,但 却 不 知 对 方 手 中 的 牌 。 

(4) 比赛 结束 后 ,每 一 方 都 能 发 现 对 方 的 欺骗 行为 (如 果 有 )。 

为 满足 这 些 要 求 ,A、B 之 间 必 须 以 加 密 形式 交换 一 些 信 息 。 在 下 面 的 协议 中 ,加 密 
体制 可 以 是 单 钥 密 码 , 也 可 以 是 公 钥 密码 。 设 EA。 和 Es、D。 和 Ds 分 别 表示 A 和 B 的 加 
密 变 换 和 解密 变换 ,在 比赛 结束 之 前 ,这 些 变 换 都 是 保密 的 ,比赛 结束 后 予以 公布 用 以 证 
明 比 赛 的 公正 性 。 要 求 加 密 变换 满足 交换 律 , 即 对 任意 消息 M 有 : 

Ea (Es(M)) = EaCEACM)) 

比赛 开始 前 ,A、B 协商 好 用 消息 rw ,ws，… ,wwss 表 示 52 张 牌 ,协议 中 设 A 为 发 牌 人 ， 
并 设 给 每 人 发 5 张 牌 。 协 议 如 下 : 

(1) B 先 洗 牌 ,然后 用 Es 对 52 个 消息 分 别 加 密 ,将 加 密 结 果 Es (rw) 发送 给 A。 

(2) A 从 收 到 的 52 个 加 密 的 消息 中 随机 选 5 个 Es (rw;) ,并 发 送 给 B,B 用 自己 的 解 
密 变换 Ds 对 这 5 个 值 解密 ,解密 后 的 值 作为 发 给 自己 的 一 副 牌 。 因 为 B 的 加 密 变 换 Es 
和 解密 变换 Ds 都 是 保密 的 ,所 以 A 无 法 知道 B 手 中 的 牌 。 

(3) A 另 选 5 个 Es(w;) ,用 E 加 密 后 发 送 给 B。 

(4) B 用 Ds 对 收 到 的 值 解密 后 再 发 送 给 A,A 用 DA 对 收 到 的 值 解密 后 作为 发 给 自 
己 的 一 副 牌 ,这 是 因为 B 发 送 给 A 的 值 是 : 

Ds (Es (Es(wi))) = Ds (Es (Ea(wi))) = Ea (wi) 
其 中 用 到 加 密 变 换 的 交换 律 。 
下 面 考虑 该 协议 是 否 满足 发 牌 过 程 的 4 个 要 求 。 
对 第 (2) 个 要 求 ,B 可 在 协议 的 第 (3) 步 检查 A 发 来 的 5 个 值 是 否 和 第 (2) 步 发 来 的 
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5 个 值 有 重复 。 为 满足 第 (4) 个 要 求 ,可 在 比赛 结束 后 公开 所 有 的 加 密 变 换 和 解密 变换 ， 
双方 都 可 检查 对 方 的 牌 看 是 否 有 欺诈 。 对 第 (1) 个 和 第 (3) 个 要 求 来 说 ,关键 在 于 加 密 变 
换 Es 的 强度 ,由 Es(w;) 可 能 得 不 出 ww ,但 有 可 能 得 出 vw; 的 部 分 信息 。 例 如 ,ww; 是 一 个 
比特 串 , 则 有 可 能 从 Es (tw;) 得 出 w; 的 最 后 一 个 比特 ,因此 A 可 将 52 个 值 Es (ro )， 
Es (wo) ,… ,Es (wss ) 分 成 两 个 子 集 ,A 在 发 牌 时 可 将 发 给 B 的 牌 集中 在 某 一 子 集中 , 因 
此 使 得 第 (1) 个 和 第 (3) 个 要 求 无 法 满足 。 


812 掷 硬币 协议 


在 某 些 密码 协议 中 ,要 求 通信 双方 在 无 第 三 方 协助 的 情况 下 产生 一 个 随机 序列 。 因 
为 A.B 之 间 可 能 存在 不 信任 关系 ,因此 随机 序列 不 能 由 一 方 产生 再 通过 电话 或 网 络 告诉 
另 一 方 。 这 一 问题 可 通过 掷 硬币 协议 来 实现 。 掷 硬币 协议 有 多 种 实现 方式 ,下 面 介绍 其 
中 的 3 种 。 


1. 采用 平方 根 掷 硬 币 

协议 如 下 : 

(1) A 选择 两 个 大 素数 p 和 g 将 乘积 n= 二 pg 发 送 给 B。 

(2) B 在 1 和 /2 之 间 , 随 机 选择 一 个 整数 ,计算 > 三 wmod n, 并 将 > 发 送 给 A。 

(3) A 计算 模 n 下 x 的 4 个 平方 根 土 zx 和 士 y( 因 A 知道 的 分 解 ,所 以 可 做 到 )。 设 
Zz 是 + mod n 和 一 + mod n 中 的 较 小 者 ,y 是 y mod n 和 一 y mod n 中 的 较 小 者 , 则 由 于 


1<u< 多 ,所 以 4 为 xz’ 和 yy 之 一 。 


(4) A 猜测 w= 二 x 或 二 y ,或 者 A 找 出 最 小 的 i 使 得 x“ 的 第 i 个 比特 与 y 的 第 
i 个 比特 不 同 ,A 猜测 的 第 i 个 比特 是 0 还 是 1。A 将 猜测 发 送 给 B。 

(5) B 告诉 A 猜测 正确 或 不 正确 ,并 将 v 的 值 发 送 给 A。 

(6) A 公开 的 因子 。 

因 w 是 B 随 机 选取 的 ,A 不 知道 gw, 所 以 要 猜测 x 只 能 是 计算 模 nw 下 xz 的 4 个 平方 


根 , 猪 中 的 概率 是 于。 再 考虑 B 如 何 能 欺骗 A, 如 果 B 在 A 猜测 完 后 能 够 改变 wx 的 值 , 则 


A 的 猜测 必 不 正确 ,A 可 通过 = 二 vemod n 检查 出 B 是 否 改变 了 的 值 ,所 以 也 要 想 改 
变 4 的 值 ,就 只 能 在 x’ 和 wy’ 之 间 进 行 。 而 B 车 掌握 x 和 y', 就 可 通过 ged(zx 一 y ,nn) 或 
gcd(z' 十 Yo) 求 出 户 和 9 ,说 明 BB 的 欺骗 与 分 解 n 是 等 价 的 。 

【 例 8-1】 采用 平方 根据 硬币 。 

本 例 是 采用 平方 根 所 硬币 的 一 个 具体 实现 过 程 : 

(1) A 取 p=3,g=7, 将 n= 二 21 发 送 给 B。 


(2) B 在 1 和 3 之 间 , 随 机 选择 一 个 整数 v 一 2, 计 算 < 三 2+mod x 二 4 并 将 < 一 4 发 送 











给 A 














(3) A 计算 模 21 下 = 一 4 的 4 个 平方 根 为 x==2, 一 + 二 19,y 二 5, 一 y 二 16, 取 x 二 2， 
3 一 5。 


/ 
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(4) A 猜测 v 一 5 并 将 猜测 发 送 给 B。 
(5) B 告 诉 A 猜测 不 正确 ,并 将 4 一 2 发 送 给 A,A 检验 v 一 2 在 1 和 分 之 问 且 满足 


4 三 2?:mod 21,A 知道 自己 输 了 。 
(6) A 公开 n=21 的 因子 p= 二 3,g 二 7,B 检验 n= 二 pg, 知 道 自 己 赢 了 。 


2 利用 单 向 函数 据 硬 币 

设 A.B 都 知道 某 一 单 向 函数 f(z) ,但 都 不 知道 该 函数 的 逆 函 数 。 协 议 如 下 : 

(1) B 选择 一 个 随机 数 z, 求 y= 二 f(z) 并 发 送 给 A。 

(2) A 对 z 的 奇偶 性 进行 猜测 ,并 将 结果 告诉 B。 

(3) B 告诉 A 猜测 正确 或 不 正确 ,并 将 zx 发 送 给 A。 

由 于 A 不 知道 f(z) 的 逆 函 数 , 因 此 无 法 通过 B 发 过 来 的 > 得 出 z, 即 只 能 猜测 z 的 


奇偶 性 。 而 卫 若 在 A 做 出 猜测 以 后 改变 x,A 可 通过 y 二 F(z) 检 查 出 来 。 


3. 利用 二 次 剩余 掷 硬币 
设 nn 是 两 个 大 素数 p 和 g 的 乘积 , 即 n=pqg。 在 Z; =={a|0 二 a 二 n,gcd(a,n) 二 1) 中 ， 


有 一 半 的 a, 其 Jacobi 符号 [各]==1, 而 在 满足 [各]=1 的 所 有 a 中 ,只 有 一 半 是 模 的 二 
次 剩余 ,而 判断 a 是 否 为 模 的 二 次 剩余 与 分 解 n 是 等 价 的 。 协 议 如 下 
(CD BB 选择 和 4g, 计 算 w 一 pq: 再 选取 满足 [各] 一 1 的 随机 数 a, 将 和 a 发 送 给 A。 


(2) A 猜测 a 是 模 n 的 二 次 剩余 或 非 二 次 剩余 ,并 将 结果 告诉 B。 
(3) B 告诉 A 猜测 正确 或 不 正确 ,并 将 p 和 g 发 送 给 A。 
(4) A 检查 p 和 g 都 是 素数 且 n 二 pq。 


显然 ,A 猜 中 的 概率 是 去 。 协 议 执行 完毕 ,A 根据 p 和 4g 可 求 出 a mod n 的 4 个 平方 
根 (如 果 a 是 模 的 二 次 剩余 ) ,以 检查 B 是否 在 A 猜测 完 后 将 结果 做 了 修改 。 


813 数字 承诺 协议 


数字 承诺 协议 是 指 发 送 方 暂时 以 隐藏 的 方式 向 接收 方 承诺 一 个 值 ,承诺 后 不 能 再 对 
该 值 做 出 任何 修改 。 数 字 承 诺 协议 通常 由 两 步 组 成 : 

第 1 步 : 承诺 ,发 送 方 将 一 个 消息 锁 进 一 盒 中 ,再 将 该 盒 发 送 给 接收 方 。 

第 2 步 : 展示 :发送 方 打开 盒 ,以 向 接收 方 展示 盒 中 内 容 。 

数字 承诺 协议 必须 满足 以 下 两 个 性 质 : 

(1) 隐藏 性 。 上 述 第 1 步 完 成 后 ,接收 者 无 法 获得 发 送 者 所 承诺 的 值 。 如 果 接 收 者 
是 概率 多 项 式 时 间 的 , 则 称 方案 是 计算 上 隐藏 的 。 如 果 接 收 者 有 无 穷 的 计算 能 力 , 则 称 方 
案 是 完备 隐藏 的 。 

(2) 捆绑 性 。 上 述 第 2 步 完 成 后 ,发 送 者 只 能 向 接收 者 展示 一 个 值 。 类 似 于 隐藏 性 ， 
捆绑 性 也 分 为 计算 上 的 和 完备 的 。 
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1. 基于 二 次 剩余 的 数字 承诺 协议 
公开 参数 ”与 8. 1. 2 节 中 利用 二 次 剩余 掷 硬 币 协议 的 选取 相同 ,此 外 还 有 一 个 工 , 满 


足 zEZ ,( 主 )=1 且 是 模 n 的 非 二 次 剩余 。 


第 1 步 : 发 送 者 随机 选取 vr<-kZ; ,计算 c 寺 rx*mod n 作为 对 5€E10,1} 的 承诺 。 

第 2 步 : 为 了 展示 承诺 ,发 送 者 将 (5,r) 发 送 给 接收 者 ;接收 者 验证 x*mod zc 是 
否 成 立 ,如 果 成 立 , 则 接收 。 

隐藏 性 : 接收 者 若 能 从 c 中 得 出 5 二 0, 则 可 知 c 是 二 次 剩余 ; 若 能 得 出 0 一 1, 则 可 知 
c 是 非 二 次 剩余 。 与 判断 “ 是 二 次 剩余 还 是 非 二 次 剩余 的 困难 性 矛盾 。 因 此 ,方案 是 完 
备 隐 藏 的 。 

捆绑 性 : 如 果 发 送 者 能 将 某 一 c 打开 到 两 组 不 同 值 (61 ,7 ) 关 (by ,rs ), 必 有 乌 关 六 ， 
六 天 mr 。 因 此 rfxh 寺 rx mod ",( 呈 ] 三 xz% 玉 三 x (或 x 1!)mod n, 与 x 是非 二 次 剩余 
矛盾 。 

2 Pedersen 数字 承诺 协议 

Pedersen 数字 承诺 协议 是 基于 离散 对 数 困难 性 假设 的 。 

设 p 和 g 是 两 个 大 素数 ,gq 上 1p 一 1,G, 是 Z; 的 阶 为 gq 的 子 群 ,g 和 hh 是 G, 的 生成 元 ， 
但 收发 双方 都 不 知道 log, (h) 。 

第 1 步 : 发 送 者 为 做 对 zxEZ, 的 承诺 ,随机 选择 rkZ, ,计算 c 三 gh'mod p 并 发 送 
给 接收 者 。 

第 2 步 : 为 了 展示 承诺 ,发 送 者 将 (z,r) 发 送 给 接收 者 ,接收 者 验证 g*h"mod p 三 c 是 
和 否 成 立 。 若 成 立 , 则 接收 。 

隐藏 性 : 已 知 承 诺 c, 每 个 xz EZ, 都 可 能 是 所 承诺 的 值 。 也 就 是 说 ,如 果 c 三 gh"mod 
pb， 对 任 一 x’'E2,, 由 可 "三 g*h"mod p, 得 g”* 三 h” "mod p,zx 一 x 三 (7 一 r)log, (h) 
和 Emod gq) , 即 存 在 x (虽然 因 不 知道 logs (4) 而 不 能 计算 ) ,满足 三 


g”h"mod p, 即 x 也 是 c 所 承诺 的 值 。 所 以 由 c 不 能 确定 是 对 哪个 xEZ, 的 承诺 。 
捆绑 性 : 如 果 发 送 者 能 对 本 组 不 间 的 《zs 懈 和 《zs72 系 诺 到 同志 值 ; 则 由 gg 


jimod p, 得 logs (h) = 天 mod gq， 即 发 送 者 能 计算 logs (h) ,矛盾 。 


2 


mod gr /三 /十 壹 


814 不 经 意 传 输 协议 


设 A 有 一 个 秘密 , 想 以 也 的 概率 传递 给 B, 即 B 有 50% 的 机 会 收 到 这 个 秘密 ,另外 


50% 的 机 会 什么 也 没有 收 到 ,协议 执行 完毕 ,B 知道 自己 是 否 收 到 了 这 个 秘密 ,但 A 却 不 
知 B 是 否 收 到 了 这 个 秘密 。 这 种 协议 就 称 为 不 经 意 传 输 协议 。 
例如 ,A 是 机 密 的 出 售 者 ,A 列举 了 很 多 问题 ,意欲 出 售 各 个 问题 的 答案 ,B 想 买 其 中 
一 个 问题 的 答案 ,但 又 不 想 让 A 知道 自己 买 的 是 哪个 问题 的 答案 。 
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1 基于 大 数 分 解 问题 的 不 经 意 传 输 协 议 

设 A 想 通过 不 经 意 传输 协议 传递 给 B 的 秘密 是 整数 (为 两 个 大 素数 之 积 ) 的 因数 分 
解 。 这 个 问题 具有 普遍 意义 ,因为 任何 秘密 都 可 通过 RSA 加 密 , 得 到 ?的 因数 分 解 就 可 
得 到 这 个 秘密 。 

协议 基于 如 下 事实 : 已 知 某 数 在 模 下 两 个 不 同 的 平方 根 ,就 可 分 解 n。 

协议 如 下 : 

(1) B 随机 选取 一 个 数 x, 将 zx?*mod n 发 送 给 A。 

(2) A( 掌 握 n= pg 的 分 解 ) 计 算 zsmod nn 的 4 个 平方 根 土 z 和 土 y, 并 将 其 中 之 一 发 
送 给 B。 由 于 A 只 知道 zx*mod nn, 并 不 知道 4 个 平方 根 中 哪 一 个 是 B 选 的 zx。 

(3) B 检 查 第 (2) 步 收 到 的 数 是 否 与 土 z 在 模 n 下 同 余 , 如 果 是 , 则 B 没有 得 到 任何 
新 信息 ;否则 ,B 就 掌握 了 x?mod 2 的 两 个 不 同 的 平方 根 , 从 而 能 够 分 解 n。 而 A 却 不 知 
究竟 是 哪 种 情况 。 

显然 ,B 得 到 ， 的 分 解 的 概率 是 二。 


2 基于 离散 对 数 问题 的 不 经 意 传输 协议 

下 面 一 个 不 经 意 传输 协议 是 非 交 互 的 ,其 中 B 不 向 A 发 送 任何 消息 。 

设 系 统 中 所 有 用 户 都 知道 一 个 大 素数 p、GF(p) 一 {0) 的 生成 元 g 和 另 一 大 素数 c ,但 
无 人 知道 c 的 离散 对 数 。 假 定 计算 离散 对 数 是 不 可 行 的 ,因此 从 g*mod p 和 g*mod p 无 
法 计算 gs?mod p。 协 议 中 所 有 运算 都 在 GF(p) 中 进行 。 

B 按 如 下 方式 产生 公开 的 加 密 密 钥 和 秘密 的 解密 密 钥 : 随机 选取 一 个 比特 i 和 一 个 
数 zx (0 二 x 三 p 一 2) ,计算 y; 二 g, 和 ;二 c (g*) ,以 (yo ,yi) 作为 公开 的 加 密 密 钥 , 以 
(i,z) 作 为 秘密 的 解密 密 钥 。 由 于 B 不 知道 c 的 离散 对 数 ,所 以 他 知道 y。 和 yi 中 一 个 的 
离散 对 数 , 而 A 无 法 知道 w 和 yw 中 哪个 离散 对 数 是 B 已 知 的 。A 可 通过 方程 wy 一 
c 来 检查 B 的 公开 的 加 密 密 钥 是 否 正确 。 

协议 中 设 A 的 两 个 秘密 和 % 是 二 进 制 数 ,由 是 异 或 运算 , 若 进行 异 或 运算 的 两 个 
数 不 等 长 ,可 在 较 短 数 前 面 补 0。 

协议 如 下 : 

(1) A 在 0~p 一 2 之 间 随 机 取 两 个 整数 ko 和 ,对 j=0,1 计 算 c=g% ,dj 二 YY ,my 
5jdj; ,将 co va wmo wm 发 送 给 B。 

(2) B 用 自己 的 秘密 的 解密 密 钥 计 算 cf 一 5 二 训 二 di,si 二 md;。 由 于 B 不 知道 
y1-; 的 离散 对 数 , 所 以 无 法 得 到 di_; 和 s1-;。 


3.“ 多 传 一 ”的 不 经 意 传 输 协议 
设 A 有 多 个 秘密 , 想 将 其 中 一 个 传递 给 B, 使 得 只 有 B 知道 A 传递 的 是 哪个 秘密 。 
设 A 的 秘密 是 5 ,ss,… ,si :每 一 秘密 是 一 比特 序列 。 协 议 如 下 : 
(1) A 告诉 B 一 个 单 向 函数 f, 但 对 广 "保密 。 
(2) 设 BB 想得到 秘密 s; ,他 在 f 的 定义 域内 随机 选取 k 个 值 zx ,xs，… ,xi ,将 & 元 组 
《y1sy2，"… ,Yi) 发 送 给 A, 其 中 
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(3) A 计算 z== 广 1 (yj)G==1,2,…,k), 并 将 zj 外 sj; (j= 二 1,2,…,k) 发 送 给 B。 
(4) 由 于 二 1 (yi) 二 (f(x;)) 二 zi;, 所 以 B 知 道 x;, 因 此 可 从 z; 中 s; 获 得 5;。 
由 于 B 没 有 xz;(j 疾 店 的 信息 ,因此 无 法 得 到 s; (7 天 i) ,而 A 不知 上 元 组 (yi ,ys，…， 
yx) 中 哪个 是 f(zi) ,因此 无 法 确定 B 得 到 的 是 哪个 秘密 。 
然而 ,如 果 B 不 遵守 协议 ,他 用 了 对 多 个 x; 求 得 f(x;) ,就 可 获得 多 个 秘密 。B 的 其 
骗 可 分 为 被 动 欺骗 和 主动 欺骗 。 被 动 欺骗 是 指 B 遵守 协议 ,但 却 意欲 获得 比 诚实 用 户 更 
多 的 信息 ;主动 欺骗 是 指 BB 根 本 就 不 遵守 协议 。 显 然 , 这 种 “多 传 一 ”协议 中 车 存在 主动 
欺骗 ,协议 的 安全 性 就 很 差 。 因 此 ,总 假定 这 种 “多 传 一 ”协议 中 的 所 有 用 户 都 遵守 协议 。 
协议 的 安全 性 主要 考虑 防止 被 动 欺骗 。 
4 基于 大 数 分 解 问题 的 “多 传 一 "不经意 传输 协议 
设 A 有 多 个 秘密 ,并 对 自己 的 每 个 秘密 都 使 用 一 个 不 同 的 RSA 体制 加 密 ,A 要 想 向 
B 传递 其 中 的 一 个 秘密 ,就 可 告诉 B 加 密 该 密 钥 的 RSA 体制 的 模 数 。 协 议 如 下 : 
(1) A 构造 个 RSA 加 密 体 制 ,使 得 在 每 个 体制 中 的 两 个 素数 p; 和 g; 满足 pj 三 
gj 三 3 mod 4( 因 此 可 保证 同一 数 a 在 模 n; 二 pjq; 下 的 两 个 平方 根 有 相反 的 Jacobi 符号 )， 
将 加 密 密 钥 (e ,nj) 及 加 密 后 的 秘密 5” mod ny(j 二 1,2,…,k) 发 送 给 B。 


(2) B 选 个 数 z1 ,zs，…,zi, 分 别 计算 Jacobi 符号 (型 ] 和 zmod nj=1,2,., 





已。B 如 果 想 获得 秘密 5, 则 将 z?mod mw 和 一 (至) 发 送 给 A, 而 对 所 有 j 关 i 将 z?mod n 


(3) 对 每 一 j ,A 计算 zmod nj 的 平方 根 和 平方 根 的 Jacobi 符号 ,比较 每 一 平方 根 的 
Jacobi 符号 是 否 与 第 (2) 步 收 到 的 Jacobi 符号 相同 ,将 Jacobi 符号 相同 的 那 一 平方 根 发 送 
给 B。 

(4) B 现 在 获得 zimod n; 的 两 个 不 同 的 平方 根 ,因此 能 够 分 解 ;, 求 出 解密 密 钥 d;， 
进一步 求 出 s;; 而 对 j 隆 i,B 在 第 (3) 步 收 到 的 平方 根 是 自己 已 知 的 ,因此 无 法 求 出 
n; 和 sj;。 

因为 A 不 知道 B 选择 的 是 哪个 i, 因 此 不 知道 B 获得 的 是 哪个 秘密 。 协 议 中 仍 假定 
A.B 都 遵守 协议 ;否则 ,如 果 B 在 第 (2) 步 进行 主动 欺骗 , 则 A 仍 无 法 识别 。 

【 例 8-2】 在 上 述 协议 中 , 设 A 用 于 加 密 某 个 秘密 s 的 RSA 体制 的 模 数 x 一 2773 一 
47X59, 满 足 47 圭 59 三 3 mod 4。B 在 第 二 步 选 择 的 相应 z= 二 2001, 计 算 zzmod 7 一 
2001?mod 2773 二 2562 及 


2001 2773 772 193 2001 7 
2773 2001 2001 2001 193 193 


(基肥 一 二 一 人 二) 一 二 ) 






































207 


me 现代 密码 学 (第 4 版 ) Eeessssa 


ee 
如 果 B 想 获得 ;, 则 将 (2562,1) 发 送 给 A。 

第 (3) 步 ,A 如 下 计算 2562 mod 2773 的 平方 根 : 

求 2562 mod 47 一 24,2562 mod 59 一 25, 求 出 24 在 mod 47 时 的 平方 根 为 土 27,25 在 
mod 59 时 的 平方 根 为 土 5( 求 模 下 的 平方 根 存在 有 多 项 式 时 间 的 算法 ,读者 可 参考 相关 文 
献 ) ,用 推广 的 Euclid 算法 求 出 59-: mod 47 三 4,47"!1mod 59 三 54, 由 中 国 剩余 定理 求 出 
平方 根 为 士 27。59。4 士 5。47。54, 即 349、772、2001、2424。 


四 (器 ) ( 缕 ) (2 ) ( 兴 ) 1,A 将 349 或 2424 发 送 给 B。 




















2773 2773 2773 2973 

第 (4) 步 ,B 由 gcd(2773,349 十 2001) 一 47 或 gcd(2773,2424 一 2001) 一 47 得 n 的 一 
个 因子 ,从 而 得 到 的 分 解 式 47X59。 若 B 不 想 获 得 ;, 则 将 (2562, 一 1) 发 送 给 A,A 将 
772 或 2001 发 送 给 B, 因 772 三 2001 mod 2773, 所 以 B 未 收 到 任何 新 信息 。 


“8.2 零 知 识 证 明 


821 交互 式 证 明 系 统 


交互 式 证 明 系 统 由 两 方 参与 ,分 别称 为 证 明 者 (Prover, 简 记 为 P) 和 验证 者 (Verifier， 
简 记 为 V) ,其 中 了 知道 某 一 秘密 (如 公 钥 密码 体制 的 秘密 钥 或 一 个 二 次 剩余 z 的 平方 
根 ),P 希望 使 V 相信 自己 的 确 掌握 这 一 秘密 。 交 互 式 证 明 由 若干 轮 组 成 ,在 每 一 轮 ,P 和 
V 可 能 需 根据 从 对 方 收 到 的 消息 和 自己 计算 的 某 个 结果 决定 向 对 方 发 送 的 消息 。 比 较 
典型 的 方式 是 在 每 轮 V 都 向 P 发 出 一 询问 ,P 向 V 做 出 一 应 答 。 所 有 轮 执 行 完 后 ,V 根 
据 P 是 否 在 每 一 轮 对 自己 发 出 的 询问 都 能 正确 应 答 , 以 决定 是 否 接受 P 的 证 明 。 

交互 式 证 明和 数学 证 明 的 区 别 是 ,数学 证 明 的 证 明 者 可 自己 独立 地 完成 证 明 , 相 当 于 
笔试 ;而 交互 式 证 明 是 由 了 一步 一 步 地 产生 证 明 、V 一 步 一 步 地 验证 证 明 的 有 效 性 来 实 
现 的 ,相当 于 口试 ,因此 双方 之 间 通 过 某 种 信道 的 通信 是 必需 的 。 

交互 式 证 明 系统 需 满足 以 下 要 求 ， 

(1) 完备 性 : 如 果 了 知道 某 一 秘密 ,V 将 接受 P 的 证 明 。 

(2) 可 靠 性 : 如 果 了 能 以 一 定 的 概率 使 V 相信 了 的 证 明 , 则 P 知道 相应 的 秘密 。 

下 面 两 个 例子 分 别 是 非 交 互 式 证 明 系 统 和 交互 式 证 明 系 统 , 用 来 考虑 图 之 间 的 同 构 
关系 。 两 个 图 G1! 和 G; 是 同 构 的 是 指 从 Gi 的 顶点 集合 到 G; 的 顶点 集合 之 间 存 在 一 个 一 
一 映射 x, 当 且 仅 当 若 zx 和 y 是 G1 上 的 相 邻 点 ,x(z) 和 x(y) 是 G,。 上 的 相 邻 点 ,表示 为 
G1 宇 G; 。 同 构 关系 表示 为 ISO 二 {(G ,Gs): G 全 G* } , 非 同 构 关 系 表示 为 NISO 一 {(G ,G;): 
G，Gz )}。 

【 例 8-3】 证 明 者 P 有 两 个 同 构 的 图 G、 互 ,向 验证 者 证 明 G 储 瓦 , 即 从 G 的 顶点 集合 
到 互 的 顶点 集合 存在 一 个 一 一 映射 ,P 只 须 向 V 出 示 这 个 映射 。 例 如 ,图 8-1 是 两 个 同 
构 的 图 ,G 的 顶点 集合 到 互 的 顶点 集合 的 映射 为 
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z= {(1,5),(2,2),(3,1),(4,4), (5,3)} 


2 EE 1 2 

















4 5 3 4 
图 8-1 两 个 同 构 的 图 


【 例 8-4】 P 有 两 个 图 G, 和 G,,(G1 ,Gs)ENISO, 向 验证 者 证 明 。 

协议 如 下 : 

(1) V 随机 选取 o<-k{1,2) ,再 随机 选取 G, 顶点 上 的 一 个 置换 x, 得 C=x(G,)。 将 
C 发 送 给 P。 

(2) P 收 到 C 后 , 找 出 rE {1,2} ,使 得 G, 衬 C, 将 t+ 发送 给 V。 

(3) V 判断 =o, 车 相等 , 则 V 接受 P 的 证 明 。 

如 果 Gi 关 G;, 则 P 总 能 正确 地 区 分 x(G1) 和 x(G,), 因 此 能 正确 地 执行 步骤 (2) ;如果 
G1 实 G;, 则 P 不 能 区 分 x(G1) 和 x(Gs), 因 此 只 能 随机 猜测 r, 能 正确 执行 步骤 (2) 的 概率 


为 二。 
822 交互 式 证 明 系 统 的 定义 


定义 8-1 ” 称 (P, V) (或 记 为 > = (P,V) ) 是 关于 语言 L、 安 全 参数 «的 交互 式 证 明 
系统 , 如 果 满 足 

(1) 完备 性 , 即 VxEL,Pr[(P,V[z]=1] 宇 1 一 e(x); 

(2) 可 靠 性 , 即 Yz&L, VP* ,Pr[(P* ,VW[zJ]=1]<e(n)。 

其 中 ,(P,V)[zJj 表 示 当 系统 的 输入 是 时 系统 的 输出 ,输出 为 1 表示 V 接受 P 的 证 
明 ;e(c) 是 可 忽略 的 。 

在 假设 检验 中 ( 设 有 H, 为 假设 ) ,有 两 类 错误 : 第 一 类 错误 (也 称 为 “ 弃 真 ") 是 当 Ho 为 
真 而 拒绝 Ho ,其 概率 (也 称 为 弃 真 率 ) 记 为 Pr[ 拒 绝 Ho| Ho 为 真 ]; 第 二 类 错误 (也 称 为 
“ 取 伪 ”) 是 当 古 。 不 真 而 接受 上 ,其 概率 (也 称 为 取 伪 率 ) 记 为 Pr[ 接 受 Ho | Ho 不 真 ]。 
在 交互 式 证 明 系 统 中 ,完备 性 意味 着 弃 真 率 三 e(x) ,而 可 靠 性 则 意味 着 取 伪 率 三 e(x)。 

在 例 8-3 中 ,H 为 事件 (G,H)EISO, 则 弃 真 率 为 Pr[ 拒 绝 H,| Ho 为 真 ]==0, 取 伪 
率 为 Pr[ 接 受 HH,| Ho 不 真 ] 二 0, 完 备 性 和 可 靠 性 都 满足 。 在 例 8-4 中 , H。 为 事件 
(G1,G: ) € NISO, 则 弃 真 率 为 Pr[ 拒 绝 有 H,。| Ho 为 真 ]==0, 取 伪 率 为 Pr[ 接 受 Ho| Ho 不 


真 ]< 二 .为 了 沽 少 取 伪 率 ,可 将 协议 重复 执行 多 次 , 设 为 次 , 则 取 伪 率 小 于 证】 


823 交互 式 证 明 系 统 的 零 知识 


零 知 识 证 明 起 源 于 最 小 泄露 证 明 。 在 交互 式 证 明 系统 中 , 设 P 知道 某 一 秘密 ,并 向 
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V 证 明 自己 掌握 这 一 秘密 ,但 又 不 向 V 泄露 这 一 秘密 ,这 就 是 最 小 泄露 证 明 。 进 一 步 地 ， 
如 果 V 除了 知道 P 能 证 明 某 一 事实 外 ,不 能 得 到 其 他 任何 信息 , 则 称 P 实现 了 零 知 识 证 
明 , 相 应 的 协议 称 为 零 知识 证 明 协 议 。 

【 例 8-5】 图 8-2 表示 一 个 简单 的 迷宫 ,C 与 D 之 间 有 
一 道门 ,需要 知道 秘密 口令 才能 将 其 打开 。P 向 V 证 明 自 
己 能 打开 这 道门 ,但 又 不 愿 向 V 泄露 秘密 口令 ,可 采用 如 
下 协议 : 

(1) V 在 协议 开始 时 停留 在 位 置 A; 

(2) P 一 直 走 到 迷宫 深 处 ,随机 选择 位 置 C 或 位 置 D; 

(3) P 消失 后 ,V 走 到 位 置 B, 然 后 命令 P 从 某 个 出 口 ”图 8-2 零 知识 证 明 协议 示例 
返回 位 置 B; 

(4) P 服从 V 的 命令 ,必要 时 利用 秘密 口令 打开 C 与 D 之 间 的 门 ; 

(5) P 和 V 重复 以 上 过 程 n 次 。 

协议 中 ,如 果 P 不 知道 秘密 口令 ,就 只 能 从 来 路 返回 B, 而 不 能 走 另外 一 条 路 。 此 外 ， 


P 每 次 猜 对 V 要 求 走 哪 一 条 路 的 概率 是 二 ,因此 每 一 轮 中 卫 能够 其 骗 V 的 概率 是 坏 。 假 


定 ， 取 16, 则 执行 16 轮 后 ,P 成 功 欺骗 V 的 概率 是 去 一 5556。 于是, 如果 16 次 了 都 能 


按 V 的 要 求 返回 ,V 即 能 证 明 P 确实 知道 秘密 口令 。 还 可 看 出 ,V 无 法 从 上 述 证 明 过 程 
中 获取 丝毫 关于 PP 的 秘密 口令 的 信息 ,所 以 这 是 一 个 零 知识 证 明 协 议 。 

如 何 刻画 交互 式 证 明 系统 的 零 知识 性 , 设 交互 式 证 明 系统 3=(P,V) 用 于 证 明 x€ 
L。 如 果 V 通过 和 了 交互 得 到 的 所 有 信息 都 能 仅 通 过 z 计算 得 到 ,这 就 说 明 V 通过 交互 
没有 得 到 多 余 的 信息 。 下 面 给 出 它 的 数学 描述 。 

设 VIEW, ,. (z) 是 V "通过 和 了 交互 (输入 zx) 后 得 到 的 所 有 信息 ,包括 从 了 得 到 的 
消息 和 V* 自己 在 协议 执行 期 间 选 用 的 随机 数 , 称 为 V" 的 视图 。 如 果 VIEW,,.(z) 能 
在 仅 知 道 x 的 情况 下 ,不 通过 交互 而 被 模拟 产生 , 则 说 明 V* 通过 交互 没有 得 到 多 余 
信息 。 

用 {VIEW, ,. (zx))ver 表 示 zxEL 时 VIEW,、. (xz) 的 概率 分 布 。 

定义 8-2 设 3 一 (P,V) 是 一 个 交互 式 证 明 系统 ,如 果 对 任 一 PPT 的 V* ,存在 PPT 
的 机 器 S, 使 得 对 VrEL,{VIEW,,. (zx))zer 和 {SC(z)}zer 服 从 相同 的 概率 分 布 , 记 为 


{VIEW, ,. (zx))er 三 {S(z))ser, 则 称 是 完备 零 知识 的 ;如 果 {VIEW,、. (zx)),er 三 
{SCz)}jer, 则 称 三 是 计算 上 零 知 识 的 。 

其 中 ,机 器 S 称 为 模拟 器 ;SCz) 表 示 输 入 为 工时 S 的 输出 ;{S(z)}),er 表 示 S 输出 的 
概率 分 布 。 

图 8-3 是 交互 式 证 明 系 统 的 零 知 识 性 描述 ,其 中 xr。 表示 V' 在 协议 执行 期 间 选 用 的 
随机 数 ,m3 ,… ,ms 表示 V 从 了 得 到 的 消息 。 

【 例 8-6】 设 (G,H)EISO,P 已 知 G 和 之 间 的 一 个 一 一 映射 $, 满 足 $(G) 一 HH， 
P 向 V 证 明 这 一 事实 。 协 议 如 下 : 
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Ve* 


“2 VIEWe v(x)={73, md, 7 md} » 
“项 C0) 


8-3 ”交互 式 证 明 系 统 的 零 知 识 性 





sl ”> 
交 


(1) P 取 一 随机 置换 x, 计算 C 一 r(G) ,将 C 发 送 给 V。 

(2) V 随机 取 <-k{G, 昌 ) ,将 下 发 送 给 P。 

(3) 如 果 下 =G,P 取 和 置换 a 二 =x; 如果 下 = 右 ,P 取 和 置换 a 二 x*$7! ,将 a 发 送 给 V(m ox 
是 置换 和 xs 的 复合 ,定义 为 TI ozo (xz) 二 (xz (7)))。 

(4) V 验证 a(F) 二 C 是 否 成 立 , 若 成 立 , 则 接受 证 明 ; 和 否则 ,拒绝 证 明 。 

显然 ,P 和 V 都 可 在 多 项 式 时 间 内 完成 , 即 都 是 PPT 的 。 

完备 性 : 如 果 下 =G, 则 a 二 x,a(F) 二 a(G) 二 x(G) 二 C, 即 a(F)==C 成 立 ; 如 果 下 = 
及, 则 a=x。$ ,aaCF) 一 rog (日); 如 果 $(G)= 二 HH( 即 (G,H)E€1SO), 则 a(F)= 
mog ($8(G)) 二 x(G) 二 C, 即 a(F)==C 成立。 所 以 , 当 a(F)==C 时 ,V 接受 P 的 证 明 。 

可 靠 性 : 如 果 G、H 不 同 构 ， 

(1) 当 F=G 时 ,a(F)=x(F)=x(G)=C; 

(2) 当 F= 昌 时 ,a(F)==C 不 成 立 ; 否 则 ,由 a(F)==C 得 a(H)=x(G),H= 
aT!lex(G), 即 存在 G 到 日 之 间 的 置换 a i'。x, 与 G、HH 不 同 构 了 矛盾 。 


因此 ,V 将 以 二 的 概率 搂 受 一 个 错误 的 证 明 ( 上 述 (1) 时 )。 如 果 协 议 重复 执行 次 ， 














则 取 伪 率 将 碱 少 到 | 二】 。 

零 知 识 性 : 在 上 述 协议 中 , 当 输 入 为 zx( 定 义 为 (G, GD)EISO 时 ), 任 一 V 的 视图 为 
VIEWew (zx) 二 {G, 昌 ,C,a)。 下 面 构 造 模 拟 器 S。 为 了 模拟 VIEWr,v* (z),S 扮演 P 的 
角色 和 V' 交互 ,过 程 如 下 : 

(1) S 取 一 随机 置换 8, 计算 D=B(G) ,将 DD 发送 给 V"。 

(2) S 车 从 V' 收 到 G, 则 输出 S(z)=={G, 右 ,D,B} 并 结束 ;如 果 从 V* 收 到 瑟 , 因 它 
不 知 $, 不 能 像 P 构造 a 二 x。 8 :那样 来 构造 8, 因 此 中 断 ,重新 从 步骤 (1) 开 始 。 


显然 ,S 每 执行 一 轮 (从 (1) 到 (2)) 是 多 项 式 时 间 ,以 去 的 概率 产生 输出 。S 结束 模拟 


的 轮 数 期 望 值 是 2, 所 以 S 是 PPT 的 。 
车 G 有 个 顶点 , 则 其 上 的 置换 有 nl! 个 。 因 a、.8 都 是 随机 选取 的 ,概率 分 布 都 是 


去" 而 C.D 都 与 G 同 构 ,概率 分 布 也 都 是 沁 , 所 以 对 每 一 输入 z((G, H) E ISO)， 
{VIEWp,v* (Zz)) er 与 {S(x))ser 是 同 分 布 的 ,以 上 协议 是 完备 零 知 识 的 。 
以 上 模拟 器 的 构造 是 一 种 假想 的 实验 , 称 为 思维 实验 (thought experiment)。 思 维 实 
验 是 用 来 考查 某 种 假设 理论 或 原理 的 结果 而 假设 的 一 种 实验 ,这 种 实验 可 能 在 现实 中 无 
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法 做 到 ,也 可 能 在 现实 中 没有 必要 去 做 。 思 维 实验 和 科学 实验 一 样 ,都 是 从 现实 系统 出 
发 ,建立 系统 的 模型 ,然后 通过 模型 来 模拟 现实 系统 ,其 过 程 如 图 8-4 所 示 。 




























































































7 实物 模型 | 一 =| 方案 选择 人、 假想 模型 -~| 假想 方案 
现实 系统 ~ 对 实物 实验 | | 假想 系统 \ / 
“0 结果 分 析 ~ 结果 分 析 
(a) 科学 实验 (b) 思维 实验 


图 8-4 科学 实验 与 思维 实验 


两 者 的 区 别 主要 有 两 方面 : 首先 所 用 模型 不 同 ,在 科学 实验 中 建立 的 是 实物 模型 ,而 
在 思维 实验 中 建立 的 是 假想 模型 ;其 次 实验 手段 不 同 , 科 学 实验 通常 借助 于 仪器 .设备 等 
具体 的 物质 手段 ,而 思维 实验 是 在 思维 中 实现 的 。 
例如 ,为 了 证 明 空 间 弯 曲 , 爱 因 斯 坦 曾 进行 了 有 名 的 升降 机 实验 。 在 实验 中 ,他 假设 升降 
机 处 于 加 速 运动 ,于 是 垂直 于 加 速度 方向 的 一 束 光 的 轨迹 在 升降 机 内 将 是 一 条 抛物 线 。 所 以 ， 
如 果 把 加 速度 与 引力 等 效 原理 推广 到 电磁 现象 中 ,那么 光线 在 引力 场 中 必定 是 弯曲 的 。 
思维 实验 的 另 一 个 著名 例子 是 苹 定 谱 的 猫 。 杖 定 户 (E. Schrodinger) 是 奥地利 著名 
物理 学 家 、 量 子 力学 的 创始 人 之 一 , 曾 获 1933 年 
诺 贝 尔 物理 学 奖 。 他 在 研究 原子 核 的 衰变 时 , 设 
想 把 一 只 猫 放 进 一 个 不 透明 的 盒子 里 ,盒子 中 有 
一 个 原子 核 和 一 瓶 毒 气 。 如 果 原 子 核发 生 误 变 ， 
它 将 会 发 射出 一 个 粒子 ,而 发 射出 的 这 个 粒子 将 
会 触发 实验 装置 ,打开 毒气 瓶 , 从 而 杀 死 这 只 猫 ， 
图 8-5 薛 定 刘 的 猫 如 图 8-5 所 示 。 实 验 完成 后 根据 猫 的 死活 就 可 
判断 原子 核 是 否 发 生 了 衰变 ,因此 这 个 实验 就 把 
一 个 微观 问题 转化 为 一 个 宏观 问题 。 然 而 ,这 个 实验 仅仅 是 假想 的 ,因为 实验 装置 必须 是 
真空 的 ,无 光 的 ;否则 ,因为 空气 中 的 粒子 或 光子 的 能 量 要 大 于 原子 核 粒 子 的 能 量 ,原子 核 
粒子 可 能 无 法 触发 这 个 实验 装置 。 
在 这 类 实验 中 ,实验 者 根本 无 法 建立 实物 模型 ,只 能 借助 于 思维 的 能 动 性 和 逻辑 规则 
思维 实验 在 后 面 的 可 证 明 安 全 性 理论 中 有 广泛 应 用 。 


824 非 交 互 式 证 明 系 统 


在 上 述 交 互 式 证 明 系 统 中 ,P 和 V 不 进行 交互 ,证 明 由 了 产生 后 直接 给 V,V 对 证 明 
直接 进行 验证 ,这 种 证 明 系 统称 为 非 交 互 式 证 明 系 统 。 非 交互 式 零 知识 证 明 系 统 (Non- 
Interactive Zero-Knowledge, NIZK) 定 义 如 下 。 

定义 8-3 一 对 多 项 式 时 间 算 法 (P,V) 是 一 个 语言 LENP 上 的 非 交互 式 零 知 识 证 明 
系统 ,如 果 以 下 性 质 成 立 : 
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完备 性 : 对 任意 xzEL(|z| 二 x) 及 其 证 据 w, 有 : 
Pr[r <—r{0,1}™S® ;x < Plr,r,w): VCrzyr) 一 1] 一 1 
可 靠 性 : 如 果 zx& 工 ,那么 对 于 任意 的 P* ,下 面 的 概率 都 是 可 忽略 的 : 
Pr[r < 一 R{0,1}mbo sx < P’ (r,x): VCIrzyr) = 1] 
零 知识 性 : 存在 一 个 多 项 式 时 间 模 拟 器 S, 使 得 对 于 所 有 的 xEL 及 其 证 据 忆 ,以 下 
两 个 分 布 是 计算 上 不 可 区 分 的 : 
{r<-g{0 I} ms x < 了 (rt (rszsn)} 
{Crsn) SC) (ryrsn)} 
最 后 一 个 条 件 就 限制 了 验证 者 可 能 获得 的 信息 。 直 观 地 说 ,验证 者 从 和 证 明 者 交互 
中 得 到 的 信息 ,都 可 以 用 多 项 式 时 间 的 模拟 器 得 到 。 
定义 中 称 为 公共 随机 参考 串 。 


825 适应 性 安全 的 非 交 互 式 零 知识 证 明 


下 面 从 两 个 方面 加 强 非 交互 式 零 知识 证 明 系统 的 定义 。 在 可 靠 性 要 求 中 ,证 明 者 在 
看 到 公共 随机 参考 串 r 之 后 适应 性 地 选择 xT(xL)。 在 零 知 识 性 方面 ,公共 随机 参考 串 
r 由 模拟 器 产生 ,然后 给 它 提供 一 个 z(zrEL) ,让 它 产生 模拟 的 证 明 。 

定义 8-4 ”如 果 满 足以 下 条 件 , 一 对 多 项 式 时 间 算 法 3zk 二 (P,V ,Sim ,Sims ) 就 是 一 
个 语言 LE NP 的 适应 性 非 交互 式 零 知识 证 明 系 统 : 

完备 性 : 与 定义 8-3 相同 。 

可 靠 性 : 对 于 任意 的 P" ,下 面 的 概率 都 是 可 忽略 的 : 

Pr[r <—r{0,1}™Y® (zx) < P(r): Vr,rsA)=1AzrE {0,1)\L] 

零 知 识 性 : 设 (Sim ,Sim;),(Al,A,) 是 一 对 两 阶段 算法 ,考虑 如 下 实验 : 


Expzk-rea (K) : Expzr-sm (K) : 
r <pR{0,1}m® r < Simi (x); 
(zw) < Alr)(r EL {0,1)); (zw) < Ar)(r ELN {0,1)"); 
xt< P(r,r,w); TX Sims (x); 
bo As(r,r,n); be As(rs rn); 
返回 返回 2. 
如 果 


| Pr[Expzx wa (x) = 1] 一 PrLExpzsn(Cc) = 1] | 

是 可 忽略 的 , 则 称 3x 具有 和 零 知识 性 。 

826 零 知识 证 明 协 议 的 组 合 

1. 顺序 组 合 

零 知 识 证 明 协议 的 顺序 组 合 是 指 将 零 知识 证 明 协 议 顺 序 执行 多 次 。 如 此 一 来 , 它 还 
是 零 知 识 的 吗 ? 

例如 ,在 图 的 同 构 证 明 中 ,一 个 欺骗 的 证 明 者 能 有 一 半 机 会 欺骗 验证 者 ,如 果 协 议 连 
续 执 行 ( 如 30 次 ), 则 验证 者 被 欺骗 的 机 会 大 约 是 十 亿 分 之 一 ,因此 协议 的 正确 性 满足 。 
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但 零 知 识 性 还 满足 吗 ? 如 果 验 证 者 是 恶意 的 ,那么 它 能 够 将 本 轮 获 得 的 信息 传递 给 下 一 
轮 。 如 果 模 拟 器 不 能 得 到 这 种 先 验 知识 ,就 不 能 模拟 验证 者 。 因 此 ,必须 允许 模拟 器 有 能 
力 获得 这 种 先 验 知识 ( 称 为 辅助 输入 )。 

协议 的 零 知 识 性 可 重新 定义 如 下 (其 中 a€E10,1}w* I 是 辅助 输入 ): 

VVipr 3Sper Vx E LVa€ {0,1}mb sD, {VIEWp,v* cw (x)}ser 和 {S(zx,a)}ser 
是 同 分 布 的 (统计 上 不 可 区 分 的 ,计算 上 不 可 区 分 的 )。 

若 零 知 识 证 明 协 议 在 组 合 后 仍 是 零 知 识 的 , 则 称 零 知 识 证 明 协议 关于 组 合 是 封闭 的 。 

2 并 行 组 合 

零 知 识 证 明 协 议 如 图 8-6(a) 所 示 ,经 过 并 行 组 合 后 如 图 8-6(b) 所 示 。 例 如 ,将 图 同 
构 的 零 知 识 证 明 协 议 ( 例 8-6)(G ,Hi),(G; ,日 ;),…,(G, ,日 ,) E1SO 经 并 行 组 合 后 , 显 


然 它 的 完备 性 ,正确 性 | 取 伪 率 { 去 】 ] 仍 成立。 为 了 考虑 它 的 零 知识 性 ,模拟 器 的 构造 
变 为 
Pp a V* P aoa Ve 


b bi, bo, by, … 


c Ch C2 C3 *** 





(a) 组 合 前 (b) 组 合 后 
8-6 ” 零 知识 证 明 协议 的 并 行 组 合 


(1) S 取 随 机 置换 B, ,…,B, ,计算 D; 二 B(Gi) ,将 D; 发 送 给 V* (i 二 1,…,n)。 
(2) S 车 从 V' 收 到 Gi,…,G,, 则 输出 Si(zx) 二 {Gi;,H;,D;,B}) 并 结束 ;否则 ,重新 从 
步骤 (1) 开 始 。 


模拟 器 成 功 的 概率 是 [ 读 】 ,车 稍 大 ,这 一 概率 就 太 小 了 ,因此 并 行 组 合 的 堆 知 识 
性 不 成 立 。 
827 图 的 三 色 问 题 的 零 知识 证 明 


图 的 三 色 问 题 是 指 对 任意 简单 ( 即 没有 平行 边 也 无 自 回路 ) 有 限 图 ,可 用 3 种 颜色 为 
其 着 色 ,使 得 任意 两 个 相 邻 顶点 为 不 同 的 颜色 。 正 式 地 ,对 于 图 G=(CN,E) ,如 果 存 在 一 
个 映射 %: N 一 {1,2,3) ,使 得 对 V (u,v) EE,$(u) 隆 8(v), 则 称 该 图 是 三 色 图 。 在 现实 
中 ,P 很 容易 地 向 V 证 明 他 掌握 一 个 三 色 图 ,首先 P 请 V 离开 房间 ,然后 对 图 着 色 ,并 将 
图 的 每 个 顶点 盖 起 来 ,然后 请 V 进来 。V 随机 选 图 的 一 边 ,P 将 这 条 边 两 个 顶点 的 遮盖 
物 去 掉 ,V 检查 两 个 顶点 的 确 为 不 同 的 颜色 。 这 一 过 程 重复 很 多 次 ,V 最 终 将 相信 这 个 
图 是 三 色 的 。 

完备 性 显然 。 

可 靠 性 : 如 果 G 不 是 三 色 的 , 则 至 少 有 一 边 其 两 个 端点 为 相同 颜色 ,V 检查 出 的 概率 
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至 少 为 TT | ,因此 取 伪 率 至 多 为 1 一 如 果 |E| 很 大 , 则 取 伪 率 很 大 ,但 协议 如 果 重 复 


面 。 
IEl? 1 ANIBI 
1El* 次 ( 即 所 有 边 都 取 到 ), 则 取 伪 率 将 减少 到 (1 一 由] 。 因 为 (1 一 用 】 关 e 


0. 36 ,所 以 取 伪 率 委 0. 36'a 。 

零 知 识 性 : 模拟 器 S 的 构造 有 两 种 方法 。 

第 一 种 方法 : S 先 不 对 图 着 色 , 盖 住 顶点 后 请 V 进来 ,V 看 见 盖 住 顶点 的 图 ,但 不 知 
是 否 已 着 色 。V 选择 一 边 ,S 对 其 顶点 用 不 同 的 颜色 着 色 ,重复 下 去 。 

第 二 种 方法 : 

(1) S 随机 地 对 图 着 色 。 

(2) 如 果 V 选择 的 两 个 顶点 不 同色 , 则 继续 协议 ;否则 ,S 对 这 两 点 重新 着 色 ,再 继续 
协议 。 

下 面 是 该 协议 的 数字 实现 ,这 里 分 别 用 1、2、3 表示 “ 红 ”“ 蓝 ”* 绿 ”, 而 顶点 的 谈 羔 和 打 
开 可 用 数字 承诺 方法 实现 。 设 C, (o) 是 使 用 随机 数 s 对 顶点 o 的 承诺 。P 拥有 图 G= 
(N,E), 其 中 |N|=n,N={1,…,n},P 已 知 G 的 三 色 图 表示 为 y(G), 其 中 顶点 i EN 的 
着 色 为 y(i)E€ {1,2,3},P 向 V 证 明 这 一 事实 ,协议 如 下 : 

(1) P 随机 选择 {1,2,3} 上 的 一 个 置换 x, 对 每 一 iE N, 设 $0 站 = 二 x(y( 让 ) ,随机 选取 

E {0,1}*(x 是 承诺 方案 的 安全 参数 ) ,计算 cj 一 C, ($0))G={1,…,n)) ,将 ccn 发 

送 给 V(x 的 作用 是 在 下 面 第 (3) 步 P 向 V 展示 时 ,不 暴露 着 色 后 的 实际 颜色 ) 。 

(2) V 随机 选取 (u,v) EE, 并 将 它 发 送 给 P。 

(3) P 发 送 (s,,8(20)),(s,,8(v)) 给 V。 

(4) 设 V 收 到 (s,o) 和 (s’ ,zr),V 检查 是 否 o 关 + 且 c,= 二 C,(o),c,= 二 Cy (Cr)( 其 中 orE 
{1,2,3)) ,如 果 检 查 通过 ,V 接受 P 的 证 明 ; 和 否则 拒绝 证 明 。 

显然 ,.P 和 V 都 是 PPT 的 。 

完备 性 显然 。 

可 靠 性 : 如果 G 不 是 三 色 图 ,至 少 有 一 边 (w,u) EE 无 法 用 不 同 的 颜色 着 色 , 即 %(z) 一 
$8(v),P 在 步骤 (1) 虽 然 可 选择 s, 隆 5,, 使 得 cv 和 cv 在 步骤 (4),V 收 到 (5,,$(u)) 和 
(syg(u)) , 若 gx) 天 gu) ， 人 Cs ($0)) 二 cs 和 Cs (gz)) 一 c。 中 至 


少 有 一 个 不 成 立 , 即 V 的 取 伪 率 至 多 为 1 一 


零 知 识 性 : 模拟 器 S 的 构造 选 上 述 物理 实现 的 第 二 种 方法 。 

(1) S 随机 选 个 值 e1,…,e, E141,2,3) 作 为 nn 个 顶点 的 着 色 ( 即 S 先 对 G 随机 地 着 
色 ), 选 nn 个 随机 数 二 ,…,t,€E 10,1)*, 计 算 di 二 Cs (ei) (i 二 1,*…,n)。 

(2) 设 S 从 V 收 到 (u,v), 若 es 隆 e,, 那 么 协议 继续 ;否则 S 中 断 。 显然,S 也 是 PPT 
的 。 由 承诺 方案 的 隐藏 性 ,对 V 来 说 ,ci 二 Cs ($0 让) 与 di 二 Cs (ei:) (i 二 1,…,n) 是 不 可 区 
分 的 ,方案 是 统计 上 零 知识 的 。 


828 知识 证 明 


知识 证 明 指证 明 者 了 向 验证 者 V 证 明 自 己 掌握 一 知识 ,但 又 不 出 示 这 个 知识 。 例 
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如 ,P 向 V 证 明 自己 掌握 一 口令 ,但 不 向 V 出 示 这 个 口令 。 又 如 ,已 知 一 公开 钥 PK ,P 向 
V 证 明 自 己 知道 与 PK 对 应 的 秘密 钥 SK。 在 知识 的 证 明 过 程 中 ,如 果 P 没 有 再 泄露 其 他 
额外 的 信息 , 则 称 该 知识 证 明 是 零 知识 的 。 

在 例 8-6 证 明 (G,HH)E1SO 的 例子 中 ,协议 连续 执行 两 次 ,但 在 两 次 执行 中 ,保持 了 
的 置换 $ 不 变 , 而 V 在 两 次 执行 时 分 别 选 择 G 和 互 。 这 样 一 来 V 就 得 到 两 个 置换 % 和 
$°x!, 从 而 可 得 置换 x 二 (8ox!) -1*%。 由 此 可 证 明了 的确 知道 x。 

在 这 种 思维 实验 中 引入 一 个 新 的 概念 ,叫做 “提取 器 ”。 提 取 器 和 PP 交互 以 提取 了 所 
声称 的 值 。 如 果 提 取 器 成 功 , 则 证 明 P 的 确 掌握 自己 所 声称 的 知识 。 

知识 证 明 可 用 诸如 PK{(a) : A 一 8 )} 的 形式 表示 ,其 中 PK 表示 Proof of Knowledge， 
圆 括 号 内 (a) 表 示 秘 密 信息 , 花 括 号 内 的 内 容 是 要 论证 的 内 容 。 

【 例 8-7】 Schnorr 协议 。 

设 G 是 阶 为 素数 gq 的 有 限 循环 群 ,g 是 生成 元 ,xE2Z,,y 二 g*EG 是 公开 的 。P 向 V 
证 明 它 掌握 ,协议 如 下 : 

(1) P 忆 随机 选取 -<RZ; ,计算 :一 gs"EG ,将 上 发 送 给 V。 

(2) V 随机 选取 c< 一 RZ, ,将 c 发 送 给 P; 

(3) P 计算 ;三 zc 十 r(mod g) ,将 s 发 送 给 V; 

(4) V 检查 g 一 yt 是 否 成 立 , 若 成 立 , 则 接受 P 的 证 明 ; 和 否则 拒绝 。 

这 种 协议 称 为 三 步 协议 ,也 形象 地 称 为 > 协议 , 因为 它 有 以 下 3 步 ， 

第 1 步 , 承 诺 ,P 向 V 通过 t 一 5 做 出 对 x 的 承诺 。 

第 2 步 ,询问 ,V 向 P 发 出 询问 c。 

第 3 步 ,应 答 ,P 以 ;作为 对 询问 c 的 应 答 。 

协议 的 完备 性 和 可 靠 性 显然 。 

为 了 提取 zz, 提取 器 和 PP 交互 两 次 ,两 次 P 选择 的 随机 数 x 及 由 得 到 的 上 保持 不 
变 , 提 取 器 的 两 次 应 答 分 别 取 为 c,c' (c 天 c), 因 此 提取 器 得 到 两 个 方程 ;三 zc 十 7 


(mod g),s' 三 zc 十 r (mod dg) ,进一步 得 到 z 一 [人 -rmod qdq。 比 较 一 下 提取 器 和 模拟 


攻 
器 的 构造 : 在 模拟 器 的 构造 中 ,模拟 器 扮演 了 的 角色 和 V 交互 ;而 在 提取 器 的 构造 中 , 提 
取 器 扮演 V 的 角色 和 了 交互 。 

协议 的 零 知识 性 : 为 了 证 明 零 知识 性 ,如 下 构造 模拟 器 S， 

(1) S 随机 取 z<RG ,将 上 发 送 给 V。 

(2) S 从 V 收 到 c 后 ,随机 选取 < 一 RZ。 ,计算 :一 5 /y。 

(3) S 重新 与 V 交互 ,将 新 计算 的 1 发 送 给 V。 

(4) S 从 V 收 到 c, 将 上 述 ;发 送 给 V。 

这 里 假定 V 是 诚实 的 ,在 相同 的 运行 环境 下 , 它 选 择 的 随机 数 c 是 相同 的 。 
VIEWaew (xz) 二 {t,c,s}), 其 中 tc、s 分 别 在 G、Z。、Z。 上 均匀 分 布 , 且 满 足 g' 二 yt。 而 
S(z) 的 输出 记 为 {z ,co ,s ) ,也 是 均匀 随机 的 。 协 议 是 完备 零 知 识 的 。 

如 果 验 证 者 是 不 诚实 的 , 它 可 根据 收 到 的 不 同 的 上 ,选择 不 同 的 询问 c, 则 上 述 模拟 过 
程 中 的 第 (4) 步 ,S 发 送 给 V 的 ;将 不 满足 验证 等 式 。 称 以 上 协议 是 诚实 验证 者 的 零 知 识 
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证 明 。 

以 下 3 例 都 是 诚实 验证 者 的 零 知识 证 明 。 

【 例 8-8〗】 PK{(a,B): A=g°h?). 

已 知 循环 群 G ==(g)==(h) ,A 二 gh?,P 向 V 证 明知 道 zy, 协议 如 下 : 

(1) P 随机 选取 ri ,rs 一 gkZ, ,计算 上 二 gj mod g, 将 上 发 送 给 V。 

(2) V 随机 选 c<-kZ, ,将 c 发 送 给 P。 

(3) P 计算 % 圭 zxc 十 rn(mod gq) ,sz 三 yc 十 rs(mod 9) ,将 (5s1，,s;) 发 送 给 V。 

(4) V 检查 gah 二 A 是 否 成 立 , 若 成 立 , 则 接受 P 的 证 明 ; 和 否则 拒绝 。 

提取 器 的 构造 类 似 于 上 例 , 略 。 

【 例 8-9】 PK{(a): A=g* HB B=h"), 

已 知 循环 群 G ==(g)= 二 (1),A 二 g*,B 二 h*,P 向 V 证 明知 道 x 且 (g,h,A,B) 形 成 
DDH 元 组 ( 即 A 和 B 有 相同 指数 x)。 

协议 如 下 : 

(1) P 随机 选取 r<kZ, ,计算 六 二 grmod g,ts 二 ”mod g, 将 ,ts 发 送 给 V。 

(2) V 随机 选取 c<-kZ, ,将 c 发 送 给 P。 

(3) P 计算 ;三 zc 十 r(mod gq) ,将 ;发 送 给 V。 

(4) V 检查 g' 二 A% 大 二 Bt， 是 否 成 立 , 若 成 立 , 则 接受 P 的 证 明 ; 和 否则 拒绝 。 

与 前 几 例 相 似 , 协 议 证 明了 P 知道 xz, 是 否 也 证 明了 (g,h,A,B) 形 成 DDH 元 组 ? 若 
A=g*,B==h” ,x 关 x ,P 选择 ri ,rs<kZ, ,ri 关 ra( 车 n= 二 rz, 则 由 g'= 二 A%t 和 有 二 B's ,得 
5 三 zc 十 nn (mod g),s 三 XC 十 re (mod g), 所 以 x 二 x 矛盾 ), 计 算 4 三 g" mod qz 三 
h”mod g, 协 议 其 他 部 分 保持 不 变 。g’ 一 Ad 和 hi 二 B's 成立 , 仅 当 rc 十 ni 三 x'c 十 


2 至 (modg), 所 以 仅 当 V 选择 c= 当 一 (mod g) 时 ,验证 方程 成 


= = 
立 。 而 V 选 到 这 个 特定 值 的 概率 是 可 忽略 的 ,所 以 P 欺 骗 成 功 的 概率 是 可 忽略 的 。 

【 例 8-10】 PK{(a,B): A 二 g* 或 B= 二 he)。 

已 知 循环 群 G = 二 (g) 二 (hh) 及 A、B,P 向 V 证 明 自己 知道 zx 使 得 A 二 g* 或 者 知道 y， 
使 得 B=r ,但 V 不 知道 具体 是 哪 种 情况 。 

协议 如 下 ,其 中 不 失 一 般 性 假定 A=g”,P 知道 x。 

(1) P 随机 选择 六 ,ca ,sz<RZ。 ,计算 六 二 gm mod g,ts 三 h* /Brmod g,P 将 ,ts 发送 
给 V。 

(2) V 随机 选择 c<RZ。, 并 发 送 给 P。 

(3) PP 计算 c==c 名 cs ,5 三 za 十 ri(mod g) ,将 cl sl、cz ss 发 送 给 V。 

(4) V 检查 g1= 二 Ann ,hs 二 Bt 及 c 一 c 中 c 是 否 成 立 , 若 成 立 , 则 接受 P 的 证 明 ; 
否则 拒绝 。 

在 以 上 证 明 中 ,(ts ,cs ,ss) 是 对 B==h?* 的 模拟 证 明 ( 即 使 P 不 知道 >); 但 因 各 元 素 的 
随机 性 ,V 无 法 区 分 (cs) 和 (ts ,cs,ss), 即 无 法 区 分 A 二 g* 与 B= 二 hY 哪 种 情况 为 
真 , 但 A=g” 与 B= 二 hr 至 少 有 一 个 为 真 ,因为 cy 由 c 和 cs 决定 ,在 固定 c 和 cs 后 ,P 无 
法 伪造 c 。 由 Schnorr 协议 的 正确 性 , 若 g1 = 二 A 成 立 , 则 A 二 g7。 




















rs (mod g)SOc= 
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829 简化 的 Fiat Shamir 身份 识别 方案 


在 很 多 情况 下 ,用 户 都 需 证 明 自 己 的 身份 ,如 登录 计算 机 系统 、 存 取 电 子 银行 中 的 账 
目 数据 库 、 从 自动 取款 机 (Automatic Teller Machine, ATM) 取 款 等 。 传 统 的 方法 是 使 用 
密码 或 个 人 身份 识别 号 (Personal Identification Number,PIN) 来 证 明 自 己 的 身份 ,这 些 
方法 的 缺点 是 检验 用 户 密码 或 PIN 的 人 或 系统 可 使 用 用 户 的 通行 字 或 PIN 冒充 用 户 。 

下 面 介绍 的 简化 的 Fiat-Shamir 身份 识别 方案 及 Fiat-Shamir 身份 识别 方案 是 身份 的 
零 知 识 证 明 ,可 使 用 户 在 不 泄露 自己 的 密码 或 PIN 的 情况 下 向 他 人 证 实 自己 的 身份 。 


1. 协 议 及 原理 

设 "一 2 ,其 中 旅 和 9 是 两 个 不 同 的 大 素数 ,z 是 模 n 的 二 次 剩余 ,y 是 xz 的 平方 根 。 
又 设 和 zz 是 公开 的 ,而 pg 和 y 是 保密 的 。 证 明 者 P 以 y 作为 自己 的 秘密 。4.1.10 节 
已 证 明 ,求解 方程 y 圭 x modn 与 分 解 n 是 等 价 的。 因此 ,他 人 不 知 n 的 两 个 素 因 子 p 和 
9 而 计算 > 是 困难 的 。P 和 验证 者 V 通过 交互 式 证 明 协 议 ,P 向 V 证 明 自 己 掌握 秘密 y， 
从 而 证 明了 自己 的 身份 。 

协议 如 下 : 

(1) P 随机 选择 ~ (0 二 r 二 n) ,计算 a 三 r?mod n, 将 a 发送 给 V。 

(2) V 随机 选择 e<-k{0,1) ,将 e 发送 给 P。 

(3) PP 计算 6 二 ry* mod n, 即 e=0 时 ,b=r;e==1 时 ,6 二 ry mod n。 将 5 发 送 给 V。 

(4) 车 如 三 ax* mod n,V 接受 P 的 证 明 。 

在 协议 的 前 3 步 ,P 和 V 之 间 共 交换 了 3 个 消息 ,这 3 个 消息 的 作用 分 别 是 : 第 一 个 
消息 是 P 用 来 声称 自己 知道 a 的 平方 根 ;第 二 个 消息 e 是 V 的 询问 ,如 果 e 二 0,P 必须 展 
示 a 的 平方 根 , 即 ,如果 e==1,P 必须 展示 被 加 密 的 秘密 , 即 ry mod n; 第 三 个 消息 6 是 P 
对 V 询问 的 应 答 。 

2 协议 的 完备 性 ,可靠 性 和 安全 性 

1) 完备 性 

如 果 P 和 V 遵守 协议 , 且 P 知道 y, 则 应 答 5 二 ry* mod n 应 是 模 n 下 az* 的 平方 根 ， 
在 协议 的 第 (4) 步 V 接受 P 的 证 明 , 所 以 协议 是 完备 的 。 

2) 可 靠 性 

假冒 的 证 明 者 下 可 按 以 下 方式 以 六 的 概率 骗 得 V 接受 自己 的 证 明 : 

(1) F 随机 选择 > (0<r<z) 和 e <-k{0,1) ,计算 a 三 rx mod n, 将 a 发 送 给 V。 

(2) V 随机 选择 e<-k{0,1} ,将 e 发送 给 下 。 

(3) 下 将 7 发送 给 V。 

根据 协议 的 第 (4) 步 ,V 的 验证 方程 是 六 寺 axr* mod n 寺 rx x mod n, 当 多 二 e 时， 
验证 方程 成 立 ,V 接受 下 的 证 明 , 即 上 欺骗 成 功 。 因 一“e 的 概率 是 六 ,所 以 F 欺骗 成 功 


的 概率 是 方 。 另 一 方面 ,去 是 下 能 成 功 其 骗 的 最 好 概率 ,否则 假设 以 大 于 去 的 概率 使 
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V 相信 自己 的 证 明 , 那 么 下 知道 一 个 4, 对 这 个 a 他 可 正确 地 应 答 V 的 两 个 询问 e 王 0 和 
e 二 1, 这 意味 着 下 知道 b 和 6 ,满足 及 二 a mod n 和 6b 二 axr mod 即 名 二 x mod n, 因 此 
1 


F 由 全 mod 即 可 求 得 x 的 平方 根 y ,矛盾 。 


假冒 的 证 明 者 F 欺骗 V 成 功 的 概率 是 十 ,对 V 来 说 ,这 个 概率 太 大 了 。 为 减 小 这 个 
概率 ,可 将 协议 重复 执行 多 次 , 设 执行 :次 , 则 欺骗 者 欺骗 成 功 的 概率 将 减 小 到 2 一。 

3) 零 知 识 性 

模拟 器 的 构造 如 下 : 

(1) S 随机 选择 a ,将 a 发 送 给 V。 

(2) S 在 收 到 V 发 来 的 “后 ,随机 选择 6--aZ。 计 算 4 二 入 mod n。 


(3) S 重 新 和 V 交互 ,将 第 (2) 步 计算 的 a 发送 给 V。 

(4) S 收 到 e 后 (如 果 V 是 诚实 的 , 则 两 次 e 是 相同 的 ) ,将 第 (2) 步 选择 的 5 发 送 给 V。 

显然 S 的 输出 和 V 的 输出 是 同 分 布 的 。 

4) 知识 证 明 性 

为 了 证 明 P 的 确 掌 握 >, 提取 器 的 构造 如 下 : 提取 器 和 了 交互 两 次 ,两 次 P 选择 的 随 
机 数 ， 及 由 得 到 的 a 保持 不 变 , 提 取 器 的 两 次 应 答 分 别 取 为 2 和 和 (2 天 六 ) ,因此 提取 器 


得 到 两 个 方程 0 一 ry ,6 二 ry" ,显然 e 天 e ,不 妨 设 e=1,e=0, 则 提取 器 得 到 y= 疡 。 


8210 ”Fiat-Shamir 身份 识别 方案 


1. 协议 及 原理 

在 简化 的 Fiat-Shamir 身份 识别 方案 中 ,验证 者 V 接受 假冒 的 证 明 者 证 明 的 概率 是 
到 ,为 碱 小 这 个 概率 ,将 证 明 者 的 秘密 改 为 由 随机 选择 的 t 个 平方 根 构成 的 一 个 向 量 了 一 
(yy yy), 模 数 姑 和 向 量 x 一 (zyz…z) 一 (, 史 ,… 罗 ) 是 公开 的 ,其 中 半 仍 是 
两 个 不 相同 的 大 素数 的 乘积 。 

协议 如 下 : 

(1) P 随机 选择 (0 二 r 二 n), 计 算 a 三 r? mod n, 将 a 发送 给 V。 

(2) V 随机 选择 e 二 (ei ,ez ,… ,ei) ,其 中 ei<-k{0,1} (i 二 1,2,…,t) ,将 e 发 送 给 P。 


(3)P 计 算 5 三 7r[|] yf mod n, 将 5 发 送 给 V。 
i=1 


(4) 著 太 疾 4 代 zf mod mV 拒绝 P 的 证 明 , 协 议 停 止 。 
(5) P 和 V 重复 以 上 过 程 上 次 。 
2 协议 的 完备 性 可靠 性 和 安全 性 
1) 完备 性 
若 P 和 V 遵守 协议 , 则 V 接受 了 的 证 明 。 
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2) 可 靠 性 

如 果 假 冒 者 下 欺骗 V 成 功 的 概率 大 于 2*, 则 意味 着 下 知道 一 个 向 量 A = 
(aa ,… ,at), 其 中 心 是 第 j 次 执行 协议 时 产生 的 ,对 这 个 A,F 能 正确 地 回答 V 的 两 
个 不 同 的 询问 E= (ee ve) 下 一 ( 户 , 甩 及)( 每 一 元 素 是 一 个 向 量 ) ,正夫 玉 。 由 
正 尖 下 可 设 e 径 户 ,e 和 Jf 是 第 j 次 执行 协议 时 V 的 两 个 不 同 的 询问 (为 向 量 ) , 简 记 为 
e 一 el 和 上 一 户 , 这 一 轮 对 应 的 必 简 记 为 ec。 所 以 下 能 计算 两 个 不 同 的 应 答 5 和 bs, 满足 


: : 六 : 
0 =al[ zt modn,B=all zf mod 即 各 三 Tzf™ mod n, 所 以 下 可 由 全 modn 求 
=1 1 1 =1 和 


得 z= 贡 zf mod n 的 平方 根 ,矛盾 。 

Fiat-Shamir 身份 识别 方案 是 对 简化 的 Fiat-Shamir 身份 识别 方案 的 推广 ,首先 将 V 
的 询问 由 一 比特 推广 到 由 上 比特 构成 的 向 量 ,再 者 基本 协议 被 执行 次。 假冒 的 证 明 考 
只 有 能 正确 猜测 V 的 每 次 询问 , 才 可 使 V 相信 自己 的 证 明 , 成 功 的 概率 是 2-*。 

3) 零 知 识 性 

模拟 器 的 构造 与 简化 Fiat-Shamir 身份 识别 方案 类 似 。 也 就 是 说 ,协议 在 执行 一 次 时 
是 完备 的 零 知 识 证 明 , 由 零 知识 证 明 协 议 的 顺序 组 合 知道 协议 重复 执行 次 也 是 零 知 
识 的 。 

4) 知识 证 明 性 

提取 器 的 构造 也 与 简化 Fiat-Shamir 身份 识别 方案 类 似 。 


8.3 ”安全 多 方 计 算 协 议 





83.1 安全 多 方 计算 问题 


假设 一 组 人 想 确定 他 们 其 中 谁 的 薪水 最 高 ,最 简单 直接 的 方法 是 每 人 直接 说 出 自己 
的 薪水 数目 。 但 如 果 大 家 都 不 想 让 他 人 知道 自己 的 薪水 数 ,该 如 何 做 出 比较 ? 如 果 存 在 
一 个 可 信和 的 第 三 方 ,每 个 人 都 可 将 自己 的 薪水 数 告诉 这 个 第 三 方 ,由 第 三 方 比较 出 结果 再 
告诉 大 家 。 这 就 要 求 这 个 第 三 方 首先 要 被 系统 中 的 所 有 用 户 所 信任 , 即 它 能 公正 地 进行 
比较 且 不 会 泄露 用 户 的 薪水 数目 。 现 实 中 可 能 不 存在 这 种 可 信 第 三 方 。 那 么 ,如 何在 不 
存在 这 种 可 信 第 三 方 的 情况 下 解决 上 述 问题 ,这 就 是 安全 多 方 计算 问题 ,最 早 由 姚 启 智 提 
出 , 称 为 百 万 富翁 问题 , 即 在 没有 第 三 方 参与 的 情况 下 ,两 个 百 万 富翁 比较 谁 更 富有 。 

上 述 问题 的 形式 化 描述 如 下 : 设 P ,…',P, 为 一 组 参与 者 ,各 自 有 秘密 输入 ri，…， 
Zz,， 想 联合 计算 某 个 多 项 式 时间 的 函数 f(z ,… ,zsR) 二 (yi,…,y,), 但 不 泄露 各 自 的 
秘密 输入 。 其 中 ,R 是 计算 中 所 有 的 随机 数 ;y, ,…,y, 是 各 参与 者 得 到 的 秘密 输出 值 。 

为 了 进行 上 述 计 算 ,各 参与 者 之 间 可 能 要 交换 信息 ,如 图 8-7(a) 所 示 ,我 们 称 这 种 计 
算 环 境 为 “真实 世界 ,而 称 有 可 信 第 三 方 ( 记 为 T) 的 环境 为 “理想 环境 *, 如 图 8-7(b) 
所 示 。 
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(a) 真实 世界 (b) 理想 世界 
8-7 ”安全 多 方 计算 问题 的 计算 环境 


832 半 诚 实 敌 手 模型 


一 个 参与 者 称 为 半 诚 实 的 ,如 果 它 正确 地 遵守 协议 的 指令 ,但 记录 协议 执行 期 间 能 得 
到 的 所 有 中 间 结 果 ,并 企图 根据 中 间 结 果 得 到 额外 信息 。 

下 面 以 两 方 计 算 协议 为 例 ,给 出 半 诚 实 模型 下 协议 的 安全 性 定义 。 如 上 所 述 ,协议 的 
安全 性 是 指 各 参与 方 不 泄露 自己 的 输入 ,因此 安全 性 就 是 保密 性 。 

定义 8-5 设 F:(0,1)* X{0,1)" 一 {0,1}" X{0,1} 是 一 个 函数 ,f(x,y) 和 fo (zx,y) 
分 别 表示 f (zx,y) 的 第 一 个 元 素 和 第 二 个 元 素 ,x 表示 计算 f 的 两 方 协议 ， 
VIEW? (zx,y) 二 {zniymi，… ,mi}) 表 示 第 一 方 的 视图 ,其 中 x 表示 第 一 方 在 协议 执行 期 
间 产 生 的 随机 数 ,mi (i 二 1,…,t) 表示 它 收 到 的 第 ;个 消息 :类似 地 ,VIEW5 Cz,y) 一 
{yr 775 表示 第 二 方 的 视图 。 又 设 OUTPUTY(Cz,y) 和 OUTPUTS(Czyy) 分 别 
表示 两 个 参与 方 的 输出 。 

确定 性 情况 : 车 f 是 确定 性 函数 , 则 说 x 安全 地 计算 ,如 果 存 在 两 个 多 项 式 时 间 的 
算法 S, 和 S, ,使 得 


{S1 (zs (zy))jssvetoa vs = {VIEW? (x,y)}zveton: (8-1) 


{S2 (y, 户 (x9))}rveton: = {VIEWE (zsy)}veton: (8-2) 
其 中 ,|z|=|y| (zl 表示 = 的 长 度 )。 
一 般 情 况 : 若 /是 一 般 函 数 , 则 说 x 安全 地 计算 了 ,如 果 存在 两 个 多 项 式 时 间 的 安全 
算法 S, 和 Si, 使 得 


{(S (zsfi (zy))，F (zy)) jyeto” 三 {VIEWT (zy),OUTPUTS (zy) -yet 
《8= 3 


{ (fi (zy),S: (y, 户 (zy)))jssveoa = {OUTPUT (x,y), VIEWE (x,y)}aveton" 
(8-4) 
其 中 ,|z| 二 |y|;S, 和 S, 称 为 模拟 器 。 
在 确定 性 情况 下 , 式 (8-1) 表 示 存 在 一 个 模拟 器 S, ,S, 仅 知道 x 和 f(x,y) 时 ,能 
模拟 第 一 方 的 视图 ,因此 第 一 方 除了 xz( 自 己 的 输入 ) 和 f(z,y) (应 得 的 输出 ) 外 ,没有 
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得 到 其 他 多 余 的 信息 ,所 以 第 二 方 是 安全 的 , 见 图 8-8。 这 种 定义 与 零 知 识 证 明 中 的 零 知 
识 性 类 似 。 


输入 x 


三 1 VIEWfG, ») 
二 








yy _ 国 . ， 
-eR 


输出 (x, 








输出 fx 2 


x( 用 户 原 有 的 ) 
ic DJ 用 户 应 得 的 ) Sey 


5 
图 8-8 安全 的 两 方 计算 及 模拟 器 


类 似 地 , 式 (8-2) 表 达 了 第 一 方 的 安全 性 。 对 确定 性 函数 , 广 (zx,y) 二 OUTPUT? (zx,y) 
(i 二 1,2) ,由 式 (8-3) 和 式 (8-4) 分 别 得 到 式 (8-1) 和 式 (8-2) 。 而 对 一 般 函 数 , 即 概率 性 函 
数 ,因为 六 zy) 和 OUTPUT(Cz,y) 都 是 随机 变量 ,虽然 服从 相同 分 布 , 但 不 一 定 相等 。 

【 例 8-11】 0OT 协议。 

0OT 协议 是 “多 传 一 ”的 不 经 意 传输 协议 。 设 发 送 方 A 持 有 六,…, 和 E{10,1}) ,接收 
方 B 持 有 iE11,…,},OT 用 符号 表示 如 下 : 

O0T ((b1,° sb) 一 (2) 

其 中 4 表示 A 没有 任何 输出 。 

协议 中 将 用 到 如 下 两 个 概念 : 

。 陷 门 置换 。 置 换 F: DD 称 为 陷 门 置 换 , 如 果 求 它 的 逆 f°! 是 困难 的 ,但 如 果 知 

一 个 陷 门 , 则 广 :的 计算 是 容易 的 。 
。 陷 门 置换 的 核 。 对 置换 f,XED,f 关 于 X 的 核 是 X 的 一 个 比特 ,满足 : 
(1) 已 知 X, 存 在 一 个 多 项 式 时 间 的 算法 2(。) ,输出 这 个 比特 , 记 为 5CX); 


(2) 已 知 X 的 置换 /CX), 则 计算 5(X) 是 困难 的 , 即 不 存在 PPT 算法 ,以 大 于 去 


的 概率 输出 2CX) 。 
称 函 数 b (。 ) 为 核 谓词 。 

协议 如 下 : 

(1) A 随机 选取 一 个 陷 门 置换 f: DD, 将 f 发 送 给 B, 但 对 了 的 陷 门 保密 。 

(2) B 随机 选取 e ,… ,ei 一 gD , 设 yi 二 ff(ei) ,yj 二 ej(j 关 让 ,将 (yi1,… ,yi) 发 送 给 A。 

(3) 在 收 到 (yi ,… ,yi) 后 ,A 利用 了 的 陷 门 计算 zj 二 广 " Cy;) 0 二 1,…,k), 并 将 (bi 
四 b(z1) ,bs 中 b(zs),… ,bb(zi)) 发 送 给 B。 其 中 ,5(。) 是 核 谓词 ;5(zi) 是 三 关于 zi 
的 核 。 

(4) B 收 到 (ci ,… ,cx) 后 计算 cbCei) 。 

因为 
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ci Doble) =(6; Bb)) Db (ei) = (bBo (fe)))) Do (ei) 
=(6b; Db(e)) Do (ei) = 





B 的 确 收 到 6;。 

而 对 于 j 关 i,B 无 法 计算 5(f71 (yj))==b (f71(e;)), 所 以 得 不 到 b。 

下 面 证 明 协 议 的 安全 性 , 因 双方 的 输出 为 确定 性 的 ,所 以 只 需 分 别 构造 发 送 者 A 的 
模拟 器 Sima。 和 接收 者 B 的 模拟 器 Sims ,满足 式 (8-1) 和 式 (8-2) 。 

A 的 视图 VIEW 一 {(2 名) (yw)} ,其 中 (yy,… ,ys) 是 D* 上 均匀 分 
布 的 ( 因 (e1,…,ei) 是 D* 上 随机 选取 的 ,了 是 随机 置换 ,y; 二 了 (ei;) ,一 e (j 交 i))。 
Sima 的 输入 为 ((61,…,b),4), 它 只 需 在 D+ 上 均匀 选取 (yi,…,y), 输 出 
( (B10 5D ) 汶 , (yy ));, 则 满足 式 (8-1)。 

B 的 视图 VIEW5 二 (i,bi, (a ,…,c4)), 在 Sims 的 构造 中 ,Sims 扮演 A 的 角色 和 B 
交互 ， 

(1) Sims 随机 选 一 个 陷 门 置换 广 : DD, 将 了 发 送 给 B。 

(2) Sims 从 B 收 到 (yi,… ,yi) 后 ,计算 zi 二 (1)71(yi) 及 cl 二 6b; 加 b(zxi), 随 机 选取 
cepR{0,1} (j=1,° ,b,jAi)。 

(3) Sims 输出 (i,bi, (ct, ,ck))。 

因为 cj 一 饭 四 0 (ei;) ,cf 二 6: 昌 6 (zi), 对 任 一 区 分 器 D, 即 使 知道 6; 的 置换 y; 二 (ei)， 
Zi 的 置换 f(x;), 由 函数 5(，。) 的 性 质 知 ,D 不 能 区 分 5 (e;) 和 4 (zi), 所 以 不 能 区 分 
和 ct。 而 当 ji 时 ,cj 二 bb (7 (yj))==b@b (7 (e;)),D 无 法 计算 1 (e), 不 
能 区 分 2 (f7!(e ) ) 和 随机 比特 ,因此 不 能 区 分 c; 和 cf ,所 以 式 (8-2) 成 立 。 

【 例 8-12】 逻辑 门 计算 协议 。 

这 里 只 考虑 异 或 门 和 与 门 的 计算 ,并 假定 每 个 门 只 有 两 个 输入 端 。 因 此 仅 考虑 这 两 
种 门 的 两 方 计算 协议 ,其 中 任 一 值 v 以 一 种 自然 的 方式 被 两 个 参与 方 分 割 ( 即 两 个 参与 者 
掌握 的 秘密 信息 相 加 等 于 v)。 

设 第 一 方 P, 持 有 秘密 输入 a, 它 将 a 自然 地 分 割 为 ai ,az , 即 一 a 十 aa ,将 as 发 送 
给 第 二 方 Ps ,自己 保留 a 。 又 设 第 二 方 Ps 持 有 秘密 输入 5, 它 将 5 自然 地 分 割 为 5 、b， 
即 0 一 乌 十 2 ,将 广发 送 给 Pi ,自己 保留 bo。 

异 或 门 c==a 十 6 的 实现 如 下 : 

因为 ca 十 2 一 (ai 十 cz) 十 (六 十 02) 一 (al 十 思 ) 十 (az 十 2 ) 一 cl 十 cx, 所 以 Pi、P; 根据 
自己 掌握 的 秘密 分 量 分 别 计算 wm 十 训 和 as 十 bz , 即 为 输出 a 十 b 的 两 个 分 量 ci 和 cs ,其 中 
的 运算 在 GF(2) 上 进行 。 

与 门 c= 二 ab 的 实现 : 

设 协议 的 双方 P 和 P 各 自 的 输出 为 c 和 cz ,满足 

ci 十 cz 一 吧 王 (aa 十 az) (bbs) = abitabs tasb asbs 
其 中 ,c 可 由 Pi 随机 选取 ;cs 等 于 cs 二 ci 十 qb 十 aibz 十 azbi 十 azpz ,可 分 为 4 种 情况 : 

。 当 as;==0,bs;= 二 0 时 ,cs==ci 十 qbi; 

。 当 a;=0,by=1 时 ,cs=ci 十 qb 十 a1==c1 十 a (by 十 1)s 

。 当 aw 王 1, 思 一 0 时 ,cc 十 ap 十 太一 cl 十 (al 十 1)23 
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。 当 as=1,bs==1 时 ,cs 一 ci 十 ai 十 ai 十 记 一 ci 十 (ai 十 1)(2 十 1)。 

cz 的 4 个 值 由 Pi 为 P, 准备 ,P: 根 据 自 己 掌握 的 a 和 6, ,计算 1 十 2as 十 bs € {1,2,3， 
4} ,并 由 计算 的 结果 选取 4 个 值 中 的 一 个 。 因 此 ,协议 可 使 用 OT 来 实现 。 协 议 如 下 (其 
中 的 运算 在 GF(2) 上 进行 ) : 

(1) 第 一 方 P, 随机 选择 cE{0,1)。 

(2) 双方 调用 OTi 协议 ,其 中 P, 作为 发 送 者 ,其 输入 为 (ci 十 aibi ,ci 十 ai (bi 十 1)， 
ci 十 (a 十 1)p ci 十 (ai 十 1)(Co 十 1)),P: 作为 接收 者 ,其 输入 为 1 十 2as 十 b, E€ {1,2,3,4})。 

(3) P; 输出 C1 ,PP。 输出 OT 的 输出 C20 

Pi 的 模拟 器 Saww 的 输入 ((aa yo ),c) ,输出 〈((eyo),ciySimor), 其 中 Simor 是 
OTt 协议 中 P, 的 模拟 器 的 输出 。 由 OT 的 安全 性 知 Simor 和 Pi 在 OTi 中 的 视图 是 不 
可 区 分 的 ,因此 Sawo 的 输出 和 P 的 视图 是 不 可 区 分 的 。P， 的 模拟 器 的 构造 是 类 似 的 。 

【 例 8-13】〗 布尔 电路 计算 协议 。 

任何 确定 性 函数 都 可 用 布尔 电路 实现 ,而 任何 布尔 电路 可 仅 使 用 与 门 及 异 或 门 构造 。 
若 函数 的 运算 在 GF(2) 上 进行 , 则 加 法 运算 对 应 电路 中 的 异 或 门 ,而 乘法 运算 对 应 与 门 。 

下 面 考 虑 任 一 布尔 电路 (实现 确定 性 函数 ) 的 安全 两 方 计算 。 

设 两 方 P 、P; 的 输入 分 别 为 (z，…' 好 )<Rf0,1) 和 (zw 3)<R{(0,1) ,对 应 电 
路 输入 线 分 别 被 标记 为 (zw ，…，,z ) 和 (wr ，… ,twos ) ,协议 如 下 : 

(1) Pi(G 一 1,2) 分 割 它 的 每 个 输入 也 G 一 1,2,…,7): 随机 选取 二 <R{0,1) ,将 发送 
给 另 一 方 作为 输入 线 zec-ow+r 的 输入 分 量 ,而 将 自己 对 该 输入 线 的 输入 分 量 设置 为 习 十 忆 。 

(2) Pl 和 P, 逐个 门 地 计算 门 输出 比特 的 分 量 , 记 Pi 持 有 ca 和 6b ,Ps 持 有 a。 和 6b。， 
其 中 wm 和 a 是 输入 线 zw 上 输入 比特 的 两 个 分 量 , 和 bs 是 输入 线 zw 上 输入 比特 的 两 
个 分 量 。 

(3) 在 所 有 门 计算 完 后 , 设 P 和 P。 的 输出 分 别 为 (yl ,…,y?)E10,1}"” 和 (yy ，…， 
四 )E{0,1),P 和 Ps 交换 所 有 的 输出 , 即 P, 得 到 (yy,…,y3) ,Ps 得 到 (yi ,…,y?) ,各自 
计算 yi 十 泪 ,…,y? 十 加 , 即 为 输出 的 比特 串 。 

方案 的 安全 性 : 

我 们 仅 考虑 P, 的 模拟 器 S, 的 构造 ,P, 的 模拟 器 的 构造 类 似 。S; 的 输入 为 zx} ,…， 
ZX? 和 (yy") 二 (十 记 ,… ,YW 十 六) ,Si 扮演 P, 的 角色 和 Pi 进行 如 下 交互 (为 了 区 
分 实际 协议 ,模拟 实验 中 的 步 数 用 罗马 数字 表示 ) : 

i Si 随机 选取 证 ,…,r? 和 妃 ,…, 玉 (其中,….r? 将 被 用 来 模拟 P, 产生 的 随机 比 
特 , 马 ,…, 台 将 被 用 来 模拟 P, 从 Ps 收 到 的 随机 比特 ) ,Si 将 输入 线 ww,… ,rw 的 输入 设 
置 为 z1 十 二,… ,zf 十 疗 , 而 将 输入 线 ras, ,twozs 的 输入 设置 为 记 3 ，… ,72。 

i S 和 Pi 逐 门 地 计算 : 

。 对 加 法 门 ,各 自 求 自己 的 输出 线 上 的 分 量 ,为 输入 线 上 的 分 量 之 和 。 

。 对 于 与 门 ,调用 Simaxn 。 

i 对 于 Pi 的 第 j 个 输出 线 ,Si 求 Pi 的 第 j 个 输出 mi ,为 自己 的 第 个 输出 与 y 的 





VS 输出 (Cal Sim 其 中 二 (rives 
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双 ) 对 应 Pi 在 第 (i ) 步 从 Ps 收 到 的 输入 分 量 ,Simaxo 是 第 站 步 中 所 有 与 门 的 输出 ,V 一 
Gm!l,…,m”) 为 Si 在 第 讶 步 得 到 的 消息 ,V? 模拟 的 是 P 从 Ps 获得 的 消息 。 

Si 输出 的 前 4 个 元 素 , 即 输入 (zl,…,z?) ,输出 (yl,…,y"), 第 i 步 产 生 的 随机 数 
(站 好) 第 让 步 从 Ps 收 到 的 随机 数 太 二 ( 马 ,…, 硫 ), 与 Pi 的 视图 是 同 分 布 的 。 而 由 
与 门 的 构造 知 ,Simawv 是 均匀 分 布 的。 第 前 步 得 出 的 P, 的 第 j 个 分 量 与 从 P, 收 到 的 第 
j 个 分 量 之 和 为 yi ,与 协议 实际 执行 的 情况 一 样 ,因此 V? 与 实际 执行 时 P, 从 Ps 获得 的 
消息 是 同 分 布 的 。 综 上 ,Si 的 输出 与 P, 的 视图 是 同 分 布 的 ,以 上 模拟 是 完美 的 。 

由 上 可 知 ,车 存在 陷 门 置换 , 则 可 实现 OT 的 安全 两 方 计 算 ,进而 实现 与 门 的 安全 两 
方 计算 。 由 与 门 的 安全 两 方 计算 ,可 实现 任意 函数 的 安全 两 方 计算 。 


833 恶意 敌手 模型 


恶意 敌手 是 指 敌 手 可 能 任意 违背 协议 的 指令 。 安 全 多 方 计算 协议 对 敌手 的 某 些 恶意 
行为 是 无 法 阻止 的 ,比如 ,敌手 拒绝 参与 协议 ,可 能 蔡 换 自己 的 输入 ,可 能 中 断 协议 的 
执行 。 

恶意 敌手 模型 时 协议 在 “理想 环境 "下 的 运行 如 下 : 

。 输 入: 各 方 获 得 一 个 输入 ,表示 为 =。 

。 向 可 信 方 发 送 输入 : 诚实 方 将 = 发 送 给 可 信 方 。 恶 意 方 根据 x, 可 能 中 断 或 发 送 
某 个 2 € {0,1}'*! 给 可 信 方 。 
可 信 方 回答 第 一 方 : 可 信 方 收 到 输入 对 (z,y) 后 ,计算 f(z,y) ,将 fi (xz,y) 发 送 
给 第 一 方 ;否则 ,车 可 信 方 收 到 的 输入 对 中 只 有 一 个 有 效 , 则 以 “| ”作为 对 两 方 的 
应 答 。 
可 信 方 回答 第 二 方 : 如 果 第 一 方 是 恶意 的 , 它 可 根据 自己 的 输入 与 可 信 方 的 应 
答 ,决定 是 否 阻止 可 信 方 。 若 阻止 , 则 可 信 方 向 第 二 方 发 送 * | ”; 和 否则 发 送 f(x， 
90 
输出 : 诚实 方 输出 自己 从 可 信 方 收 到 的 消息 ,恶意 方 可 能 从 自己 最 初 的 输入 及 从 
可 信 方 获得 的 消息 ,计算 一 个 任意 函数 (PPT 的 ) 的 函数 值 。 

设 F: {0,1}* X{0,1}" 一 {0,1})" X{0,1 是 一 个 函数 ,其 中 f=(fi,f),M= 4M ,Mi) 是 
一 对 非 均 匀 概 率 期 望 多 项 式 机 器 (表示 理想 环境 中 的 参与 方 ), 如 果 至 少 有 一 个 i€ {1,2}， 
M: 是 诚实 的 , 则 称 M 是 可 接受 的 ,M 和 M 的 联合 输出 记 为 IDEALy.a (zx,y)。 假 设 M 是 
恶意 的 ,如 果 它 总 在 协议 开始 时 就 中 断 , 则 以 上 联合 输出 为 (Mi(z, 上), 上)。 如 果 Mi 不 中 
断 协议 的 执行 , 则 联合 输出 为 (M (z, 户 (zy)) :fo (zy));, 其 中 之 一 Mi(z) 为 Mi 给 可 
信 方 的 输入 。 

协议 的 安全 性 定义 如 下 : 

定义 8-6 设 广 xz 如 上 ,如 果 对 于 真实 环境 下 任意 一 对 可 接受 的 非 均匀 概率 期 望 多 
项 式 时 间 的 机 器 A= (Ali,A; ) ,在 理想 环境 下 存在 一 对 可 接受 的 非 均匀 概率 期 望 多 项 式 


时 间 的 机 器 B= ( B, ,Bs ) ,使 得 {IDEALra (zx,y)}.y 二 {REAL.a (x,y)}y, 则 称 x 安 全 
地 计算 了 ,其 中 |z|=|y|。 
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【 例 8-14】 撕 币 入 井 协 议 。 该 协议 用 于 为 两 个 参与 方 产生 一 个 随机 比特 ,用 函数 表 
示 为 (1",1") 王 (5,5), 其 中 1" 是 安全 参数 ,b<-k{0,1) 均 匀 分 布 。 

协议 如 下 ,其 中 C, (c) 是 通过 随机 数 ; 对 o 的 数字 承诺 。 

输入 : 安全 参数 1" 。 

(1) Pi 随机 选择 co<-g{0,1} ,s<k{0,1)" ,发 送 c= 二 C,(o) 给 P,。 

(2) P; 随机 选择 o <g{0,1) ,将 o 发 送 给 P) 。 

(3) Pi 计算 5b 二 oo ,将 (c,s) 发 送 给 Ps。 

(4) Ps 检查 c 一 C,(c) 是 否 成 立 , 若 不 成 立 , 则 中 断 ; 否 则 计算 0 一 cc 。 

输出 : Pi 总 输出 2,P: 的 输出 或 为 5 或 为 | 。 

安全 性 证 明 分 两 种 情况 : 在 第 一 种 情况 中 ,P, 是 诚实 的 , 设 表示 Pi 、Ps 的 机 器 分 别 为 
Ai 、A; , 则 理想 环境 中 模拟 A, 的 机 器 Bi 是 确定 的 。 为 了 构造 B: ,B: 扮演 A; 的 角色 和 
A: 交互 ,过 程 如 下 : 

i Bs 将 1" 发 送 给 可 信 方 ,从 可 信 方 获得 0。 

ii Bs 循环 执行 以 下 过 程 至 多 nn 次 : 

a. 随机 选择 co<-k{0,1) ,s<-k{0,1)" ,发 送 c= 二 C,(o) 给 A,。 

b. 在 收 到 A; 反馈 的 oo€10,1}) 后 ,检查 oo ==b 是否 成 立 , 若 成 立 , 则 以 A; 的 输出 
作为 自己 的 输出 ;否则 进行 下 一 人 循环。 

车 n 次 循环 都 不 成 功 , 则 输出 |。 


因为 As 反馈 的 是 As 在 140,1) 上 随机 选取 的 ,zx 天 be 的 概率 为 去 , 即 一 次 循环 不 


成 功 的 概率 为 二 ,n 次 循环 不 成 功 的 概率 为 ( 讨 】 ,是 可 忽略 的 。 


下 面 证 明 上 述 模拟 过 程 满足 {IDEALra(l" ,1")},en 三 .{ REAL.a (1",1")}),en。 事 实 上 ， 
该 式 左右 两 边 的 随机 变量 是 统计 上 不 可 区 分 的 。 两 个 随机 变量 都 为 (5,As(C,(o),(o,s))) 
的 形式 ,其 中 0=c 田 4A: (C;(o)), 所 以 两 个 随机 变量 都 是 由 (o,s) 对 决定 的 。 在 
REAL.x(1",1") 中 ,所 有 (cs) 是 等 可 能 的 ,概率 为 2 27。 定 义 S 一 
{ (zy) E{0,1}X{0,1)":z@A, (C,(z))=0} ,其 中 4 从 第 i 步 获 得 ,S, 中 元 素 对 满足 
步骤 i 的 b 中 的 检查 。 因 6 由 可 信 方 在 i 中 随机 选取 ,ii 的 b 中 c 四 co 一 2 成 立 的 概率 为 


二 ,所 以 满足 so =6 的 (0,s) 的 概率 为 1 ,又 由 
2 2 | Sa cc, co)) 


Pr,[A:(C(oD) =5 田 四 = 工 Pr [A (C.(0)) =6] + 去 [4 (CD) =6®1] 


+ 去 (Pr [A: (CG:(0)) =6] —Pr [4 (CG.(D)) 一 加 ) 


cc 一 ~ 





土 en) 


其 中 最 后 一 个 等 式 由 承诺 方案 的 性 质 得 到 ,e(z) 是 可 忽略 的 。 又 
|S,| 


2o1 





Pr,,[4:(C:(o)) = bo] = 
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所 以 
| S | 一 (Fw )e"" = 去 (十 2w))2"" 
得 
1 2 CH] 和 2 CH1) 
2 [S,@a, cc, ce)) | 1 土 2e(n) 
即 


REAL xz (Is) 和 IDEALs (1*;1*) 

是 统计 上 不 可 区 分 的 。 

第 二 种 情况 P。 是 诚实 的 , 则 理想 环境 中 模拟 A 的 机 器 B。 是 确定 的 ,为 了 构造 Bi， 
Bi, 扮演 A: 的 角色 和 A 交互 ,过 程 如 下 : 

(I) Bi 输入 1”, 从 Al 收 到 c,c 可 能 是 C(0) 或 C(1)。 

([) B, 模拟 第 (2)、(3) 步 : 

a. Bi 给 Al 发 送 0, 记 录 Al 的 应 答 。Ai 的 应 答 可 能 是 | 或 (oo ,so), 车 c 隆 Cs (oo), 则 
中 断 。 

b. Bi, 重新 和 Ai 交互 ,给 A 发送 1, 记 录 A; 的 应 答 ,A 的 应 答 可 能 是 上 或 (o1,s)， 
车 c 关 C; (01), 则 中 断 。 

车 a 和 b 都 中 断 , 则 Bi 输出 A1(1",o)(o 从 {0,1}) 中 随机 选取 ) 且 中 断 。 否 则 B); 继 
续 以 下 过 程 ,其 中 分 两 种 情况 : 

情况 1: 在 (本 ) 的 (a)、(b) 中 仅 一 个 得 到 正确 应 答 ( 即 非 | , 且 非 中 断 ) ,对 应 的 oo (或 
ol) 定 义 为 c, 而 Bi 发 送 给 A 的 0 或 1 定义 为 o。 

情况 2: 在 ([) 的 (a)(Cb) 中 两 个 都 得 到 正确 应 答 ( 即 非 上 上 , 且 非 中 断 ) ,此 时 0 二 a。 
这 是 因为 c 一 Cu (co ) 王 Cs (o ) ,由 承诺 方案 的 捆绑 性 得 mw 一 cm 。 定 义 c 一 om 一 ol 。 

( 隆 ) B; 向 可 信 方 发 送 1", 并 从 可 信 方 收 到 5€ {0,1}。 此 时 可 信 方 还 没有 应 答 A， ， 
Bi 可 阻止 可 信 方 对 A: 的 应 答 。 

(CMV ) 在 情况 1 下 ,Bi 判断 5 二 oo 是否 成 立 , 若 不 成 立 , 则 阻止 可 信和 方向 As 发 送 5; 

在 情况 2 下 ,Bi 取 o = 二 bBo, 且 允 许可 信和 方向 As 发 送 0。 

在 两 种 情况 下 ,Bi 将 o 反馈 给 Al。 注 意 在 两 种 情况 下 ,如 果 可 信和 方向 As 发 送 了 。， 
则 oo =6 一 定 成 立 。 

(V) Bi 输出 A; 的 输出 ,表示 为 A1(1",o)。 

下 面 显示 IDEALy.s (1",1”) 和 REAL..a (1”,1") 是 同 分 布 的 。 

首先 , 当 Ai 从 未 中 断 时 (因此 B, 也 从 未 中 断 ) ,IDEALy.s (1 1) 一 (Ac 四 0)， 
0,REALef( 1) 一 (4 (1",o ),oo ), 其 中 co 和 46 在 {0,1) 上 均匀 分 布 ,而 o 由 c 决 
定 (o = 二 CT!(c)),o 和 o 是 独立 的 ,所 以 oc 名 co 在 {10,1) 上 均匀 分 布 ,所 以 
(A1 (ab ,2) 和 (Ai (lc ),oo ) 是 同 分 布 的 。 

若 B, 中 断 , 则 两 个 随机 变量 都 为 (A (1",c) ,| ), 其 中 o 是 随机 的 ,因此 是 同 分 
布 的 。 

若 在 第 (3) 步 ,P, 只 能 正确 回答 一 个 e (第 (2) 步 收 到 ) , 则 真实 执行 时 ,协议 不 中 断 的 
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概率 是 频 。 而 理想 情况 对 应 第 (了 ) 步 的 情况 下 ,此 时 仅 当 可 信 方 发 送 的 6 满足 二 o@o 


时 [概率 为 去 ] ,协议 不 中 断 。 在 协议 不 中 断 情况 下 ,两 个 模型 的 输出 都 是 (A1(1,o),o@ 
2) ,在 协议 中 断 的 情况 下 ,两 个 模型 的 输出 都 是 (A, (1",o@@1) ,| )。 


习 题 


1. 假设 你 知道 一 个 背包 问题 的 解 , 试 设计 一 个 协议 ,以 零 知识 证 明 方 式 证 明 你 的 确 
知道 问题 的 解 。 

2. 在 8.1.4 节 ,基于 大 数 分 解 问题 的 “多 传 一 不经意 传输 协议 中 为 什么 要 求 p) 二 
gj 三 3 mod 4? 设 厂 =55 一 5X11,B 选 择 x 二 2, 且 想 获得 A 的 秘密 5; ,分 析 B 是 否 能 成 
功 获 得 。 

3. 设 p 是 素数 , 群 Z; 的 元 素 g 是 群 Z; 的 生成 元 , 当 且 仅 当 对 每 一 hEZ; ,存在 一 整 
数 zx, 使 得 As mod p。 

(1) 在 Z; 中 均匀 、 随 机 选取 一 个 元 素 h, 证 明 : 如 果 g 不 是 Z; 的 生成 元 , 则 存在 一 整 


数 ,使 得 /一 srmod p 成 立 的 概率 至 多 是 十 。 


(2) 给 出 g 是 Z; 的 生成 元 的 零 知识 证 明 。 

(3) 在 (2) 中 的 零 知 识 证 明 中 ,证 明 者 能 否 在 多 项 式 时 间 内 完成 证 明 ,为 什么 ? 

4. 设 n 是 两 个 未 知 大 素数 p 和 g 的 乘积 ,zo ,zi EZ; 且 其 中 至 少 一 个 是 模 n 的 二 次 
剩余 。 又 设 zo zi 模 n 的 Jacobi 符 号 都 为 1, 考 虑 下 面 交 互 证 明 系 统 , 其 中 zo zk 和 作 
为 输入 ,P 为 证 明 者 ,V 为 验证 者 : 

(1) P 随机 选择 i<-k{0,1) ,wyu-o<RZ ,计算 ys 三 Wmod n 及 y1-s 三 vi-s(zi-s) 
mod nn, 将 yo 、yi 发 送 给 V。 

(2) V 随机 选择 c<-k{0,1}) ,将 c 发 送 给 P。 

(3) P 计算 z, 寺 wi9"vs mod n,z1_s 三 ws ,将 zo 、zi 发 送 给 V。 

(4) V 检查 23 圭 y。mod n 和 xi=ziy mod n 是 否 成 立 ,或 者 23 二 zoyo mod n 和 xz? 二 
zi mod n 是 否 成 立 。 如 果 不 成 立 , 则 拒绝 并 终止 。 

以 上 过 程 重复 logz(v) 次 。 

(1) 证 明 以 上 协议 证 明了 zo .zi 中 至 少 有 一 个 是 模 的 二 次 剩余 。 

(2) 证 明 以 上 协议 是 完备 的 。 
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第 9 音 
”可 证 明 安全 


9.1 ”语义 安全 的 公 钥 密码 体制 的 定义 





若 定 义 公 钥 加 密 方案 的 安全 性 为 : 如 果 敌 手 已 知 某 个 随机 明文 所 对 应 的 密 文 ,不 能 
得 出 明文 的 完整 信息 ,那么 这 种 定义 是 一 个 很 弱 的 安全 概念 ,因为 敌手 虽然 不 能 得 出 明文 
的 完整 信息 ,但 有 可 能 得 到 明文 的 部 分 信息 。 一 个 安全 的 加 密 方案 应 使 敌手 通过 密 文 得 
不 到 明文 的 任何 部 分 信息 ,即使 是 1 比特 的 信息 。 这 就 是 加 密 方案 语义 安全 的 概念 。 此 
概念 由 Goldwasser 和 Micali 于 1984 年 提出 ,这 一 概念 的 提出 开创 了 可 证 明 安 全 性 领域 
的 先河 ,奠定 了 现代 密码 学 理论 的 数学 基础 ,将 密码 学 从 一 门 艺术 变 为 一 门 科学 。 

加 密 方案 语义 安全 的 概念 由 不 可 区 分 性 (Indistinguishability) 游 戏 ( 简 称 IND 游戏 ) 
来 刻画 ,这 种 游戏 是 一 种 思维 实验 ,其 中 有 两 个 参与 者 : 一 个 称 为 挑战 者 (challenger) , 另 
一 个 是 敌手 。 挑 战 者 建立 系统 ,敌手 对 系统 发 起 挑战 ,挑战 者 接受 敌手 的 挑战 。 加 密 方案 
语义 安全 的 概念 根据 敌手 的 模型 具体 又 分 为 在 选择 明文 攻击 下 的 不 可 区 分 性 、 在 选择 密 
文 攻击 下 的 不 可 区 分 性 、 在 适应 性 选择 密 文 攻击 下 的 不 可 区 分 性 。 


91.1 选择 明文 攻击 下 的 不 可 区 分 性 


1. 选 择 明 文 攻击 下 的 不 可 区 分 性 定义 

公 钥 加 密 方 案 在 选择 明文 攻击 (Chosen Plaintext Attack,CPA) 下 的 IND 游戏 ( 称 为 
IND-CPA 游戏 ) 如 下 : 

(1) 初始 化 。 挑 战 者 产生 系统 荆 , 敌 手 ( 表 示 为 A) 获 得 系统 的 公开 钥 。 

(2) 敌手 产生 明文 消息 ,得 到 系统 加 密 后 的 密 文 ( 可 多 项 式 有 界 次 ) 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相同 的 消息 Ms 和 Mi 。 挑 战 者 随机 选择 B< {0,1}， 
将 Ms 加 密 ,并 将 密 文 C”( 称 为 目标 密 文 ) 给 敌手 。 

(4) 猜测 。 敌 手 输出 8 ,如 果 B 王 8, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 参数 < 的 函数 : 


AdvgA(e) = | Pr[p = 8]— | (9-1) 
其 中 «是 安全 参数 ,用 来 确定 加 密 方案 密 钥 的 长 度 。 因 为 任 一 个 不 作为 的 敌手 A, 都 能 通 
过 对 做 随机 猜测 ,而 以 二 的 概率 赢得 IND-CPA 游戏 。 而 | Pr[8 一 B] 一 让 | 是 敌手 通过 
努力 得 到 的 , 故 称 为 敌手 的 优势 。 
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因为 
Pr[g =B] 一 让 | 一 |Prtp=0JPr[8 Blp=01+Prtp=1]Pr[p 一 8|B1] 一 二 | 
Pr[p=0JPr[g =0|8=0]+Pr[B=1]Pr[g =1|8=1] 一 | 
1 本 1 
13 Pr[g 一 118=0]] 十 却 Pr[8 一 118=1] | 
二 |Pr[g =118=1] 一 PrIg=11p=0]| 
敌手 的 优势 也 可 定义 为 : 
Adv 叭 (ec)= |Prlg =1|8=1]—Prtg =1|8=0]| (9-2) 











只 不 过 这 种 定义 的 优势 是 式 (9-1) 的 2 倍 。 
上 述 IND-CPA 游戏 可 形式 化 地 描述 如 下 ,其 中 公 钥 加 密 方 案 是 三 元 组 了 = 
(KeyGen,E,D) ,游戏 的 主体 是 挑战 者 。 
ExpRACc) : 
(pk,sk)<— KeyGen(x); 
(Mo Mi) 一 Alpk), 其 中 |M|= |M|; 
Br{0,1},C” = Ex (Mg); 
B <— A(pk,C ); 
如 果 p = B, 则 返回 1; 否 则 返回 0. 
敌手 的 优势 定义 为 : 
AdvgA (ec) 一 | Pr[ExpA(Cec) 一 1] 一 


或 者 ,在 B<-A(lpk,C" ) 后 ,返回 , 则 优势 按 式 (9-2) 定 义 。 

定义 9-1 如果 对 任何 多 项 式 时 间 的 敌手 A, 存 在 一 个 可 忽略 的 函数 cl(x) ,使 得 
AdvgA (rk) 过 el(x) ,那么 就 称 这 个 加 密 算法 工 是 语义 安全 的 ,或 者 称 为 在 选择 明文 攻击 下 
具有 不 可 区 分 性 ,简称 为 IND CPA 安全 。 

如 果 敌 手 通过 Ms 的 密 文 能 得 到 Me 的 一 个 比特 ,就 有 可 能 区 分 Ms 是 Me 还 是 Ml， 
因此 IND 游戏 刻画 了 语义 安全 的 概念 。 

定义 中 需要 注意 以 下 几 点 : 

(1) 定义 中 敌手 是 多 项 式 时 间 的 ,否则 因为 它 有 系统 的 公开 钥 , 可 得 到 Mo 和 M 的 
任意 多 个 密 文 , 再 和 目标 密 文 逐一 进行 比较 , 即 可 赢得 游戏 。 

(2) Ms 和 Mi 是 等 长 的 ,否则 由 密 文 , 有 可 能 区 分 Ms 是 Mo 还 是 Mi 。 

(3) 如 果 加 密 方案 是 确定 的 ,如 RSA 算法 、Rabin 密码 体制 等 ,每 个 明文 对 应 的 密 文 
只 有 一 个 ,敌手 只 需 重新 对 Ms 和 Mi 加 密 后 ,与 目标 密 文 进行 比较 , 即 赢得 游戏 。 因 此 语 
义 安 全 性 不 适用 于 确定 性 的 加 密 方案 。 

(4) 与 确定 性 加 密 方案 相对 的 是 概率 性 的 加 密 方 案 , 在 每 次 加 密 时 ,首先 选择 一 个 随 
机 数 , 再 生成 密 文 。 因 此 同一 明文 在 不 同 的 加 密 中 得 到 的 密 文 不 同 , 如 ElGamal 加 密 
算法 。 
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2 群 上 的 离散 对 数 问 题 

群 上 的 离散 对 数 问 题 如 下 : 给 定 群 G 的 生成 元 g 和 G 中 的 随机 元 素 h, 计 算 logs (hh )。 
这 个 问题 在 许多 群 中 都 被 认为 是 “困难 的 ”, 称 其 为 群 上 的 离散 对 数 假设 。 下 面 令 
GroupGen 是 一 个 多 项 式 时 间 算 法 ,其 输入 为 安全 参数 «, 输 出 为 一 个 阶 等 于 g 的 循环 群 G 
的 描述 (G 的 描述 包括 它 的 阶 g, |q| = 二 « 且 g 不 一 定 是 素数 ) 以 及 一 个 生成 元 g€G。 
GroupGen 的 离散 对 数 假设 定义 如 下 : 

定义 9-2 GroupGen 的 离散 对 数 问题 是 困难 的 ,如 果 对 于 所 有 的 PPT 算法 A, 下 式 
是 可 忽略 的 : 

Pr[(G,g)<—GroupGen(r) ;h<—k G;z<—A(G,g,h) 使 得 g*==h] 

如 果 GroupGen 的 离散 对 数 问 题 是 困难 的 , 且 G 是 一 个 由 GroupGen 输出 的 群 , 则 称 
离散 对 数 问题 在 G 中 是 困难 的 。 

例如 , 令 GroupGen 输入 为 <, 输 出 一 个 长 度 为 < 的 随机 素数 g( 可 通过 一 个 随机 化 算 
法 有 效 地 实现 ) , 令 G ==Z; , 则 G 是 一 个 阶 为 g 一 1 的 循环 群 ,其 上 的 离散 对 数 即 为 4. 1.9 
节 介 绍 的 离散 对 数 问题 ,离散 对 数 假设 成 立 。 

ElGamal 加 密 算法 是 IND CPA 安全 的 。 算 法 如 下 。 























密 钥 产 生 过 程 : 
KeyGen(Cc) : 
(G,g)<GroupGen(x); 
TAR 7y 一 1 
pk=(G,g,y),sk=x. 
加 密 过 程 (其 中 MEG): 
Ea(M): 
reg Zs 
输出 (g”,yM). 
解密 过 程 : 
Da (A,B): 
B 
输出 
这 是 因为 起 一 首 生 一 2 一 一 M. 


离散 对 数 问 题 意 味 着 给 定 公 开 钥 ,没有 敌手 能 确定 秘密 钥 。 然 而 ,这 不 足以 保证 方案 
是 IND CPA 安全 的 。 实 际 上 ,我 们 能 找到 一 个 特殊 的 群 ,其 上 的 离散 对 数 假设 成 立 , 但 
建立 在 其 上 的 EIGamal 加 密 方案 却 不 是 IND CPA 安全 的 。 例 如 群 Z;(p 为 素数 ) 上 的 离 
散 对 数 假定 是 成 立 的 ,但 在 多 项 式 时 间 内 可 判定 Z; 中 的 元 素 是 否 为 二 次 剩余 。 而且,Z; 
中 的 生成 元 g 不 可 能 是 二 次 剩余 ,否则 Z; 中 的 元 素 都 是 二 次 剩余 。 这 会 导致 针对 
ElGamal 方案 的 一 种 直接 攻击 : 敌手 产生 两 个 等 长 的 消息 (Mo ,Mi ) 使 得 M。 是 二 次 剩 
余 ,M, 是 非 二 次 剩余 。 给 定 密 文 (A,B), 则 存在 ,使 得 A==g",B 二 yMp。 敌 手 可 以 在 
多 项 式 时 间 内 判定 y 是 否 为 二 次 剩余 ,例如 A 是 二 次 剩余 , 则 存在 一 个 a€ Z; ,使 得 a? 
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二 A, 将 a 写成 生成 元 g 的 守 g* ,那么 A 二 g*, 所 以 r 寺 2a mod (p 一 1)。 如 果 A 或 y 是 二 
次 剩余 , 则 zr 至 少 有 一 个 为 偶数 ,所 以 y" 王 g” 也 是 一 个 二 次 剩余 。 通 过 观察 B, 敌 手 就 
能 判定 Ms 是 否 为 二 次 剩余 : 如 果 y" 是 二 次 非 剩余 且 B 是 二 次 剩余 , 则 Ms 必定 是 一 个 
二 次 非 剩余 。 进 而 就 可 以 判断 出 加 密 的 是 哪个 消息 。 

因此 ,为 了 证 明 ElGamal 加 密 方案 的 语义 安全 性 ,需要 一 个 更 强 的 假设 。 


3. 判定 性 Dife-Hellman(DDH 假设 

判定 性 Diffie-Hellman(Decisional Diffie-Hellman,DDH) 假 设 指 的 是 区 分 元 组 Cg， 
8 ,8*”) 和 (g,g*,g”,g*) 是 困难 的 ,其 中 g 是 生成 元 ,x+、y、z 是 随机 的 。 

定义 9-3 设 G 是 阶 为 大 素数 g 的 群 ,g 为 G 的 生成 元 ,zyy,z<kZ,。 则 以 下 两 个 
分 布 : 

。 随机 四 元 组 R= (g,g*,g’,g*)EG'; 

。 四 元 组 D==(g,g”,g*,g”)EG'( 称 为 Diffie-Hellman 四 元 组 )。 
是 计算 上 不 可 区 分 的 , 称 为 DDH 假设 。 

具体 地 说 ,对 任 一 敌手 A,A 区 分 R 和 的 优势 AdvRon (x) = |Pr[ACR) 一 1] 一 


Pr[ACD) 一 1] | 是 可 忽略 的 。 

定理 9-1 在 DDH 假设 下 ,ElGamal 加 密 方案 是 IND CPA 安全 的 。 

证 明 (这 里 真正 指 的 是 如 果 DDH 假设 对 于 GroupGen 成 立 , 且 该 算法 用 于 
ElGamal 加 密 方案 的 密 钥 生 成 阶段 , 则 ElGamal 加 密 方案 的 特定 实例 是 IND CPA 安 
全 的 。) 

假设 一 个 PPT 敌手 A 攻击 EIGamal 加 密 方案 的 IND CPA 安全 性 。 这 意味 着 A 输 
出 等 长 消息 Me 和 M ,得 到 Me 的 密 文 ,输出 猜测 。 若 B =B, 则 A 成 功 (用 Succ 来 表示 
该 事件 ) 。 

下 面 构造 一 个 敌手 B,B 利用 A 来 攻击 DDH 假设 。 设 B 的 输入 为 四 元 组 T= (gi， 
g2,83.84), 群 G 及 其 生成 元 g 是 公开 的 。B 的 构造 如 下 : 

BD: 
pk= (gi1,g2); 
(Mo ,Mi) A(pk); 
Br{0,1}; 
C’=(gs,g Me); 
PA(pkyC" )s 
如 果 有 一 8 则 输出 1; 和 否则 输出 0. 

当 输 出 为 1 时 ,B 猜测 输 入 的 四 元 组 T=(gi,sg: ,gs:gi) 是 DH 四 元 组 ,输出 为 0 时 ， 
B 猜测 输入 的 四 元 组 T= (gi ,gs ,ggs) 是 随机 四 元 组 。 

令 R 表示 事件 : (gi ,gs,g3,g4) 是 随机 四 元 组 ;D 表示 事件 : (gi ,gs,g3,g4) 是 DH 
四 元 组 。 


首先 证 明 Pr[BCT) 一 1|R] 一 去 。 已 知 g; 在 G 中 均匀 分 布 ,独立 于 gi、g2、gs。 所 以 
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密 文 的 第 二 部 分 在 G 中 均匀 分 布 ,独立 于 被 加 密 的 消息 ( 即 独 立 于 8)。 因 此 ,A 没有 B 的 
任何 信息 , 即 不 能 以 超过 1/2 的 概率 来 猜测 Bp。 而 B 输出 1 当 且 仅 当 A 成 功 ,所 以 
Pr[BCT) 二 1|R]= 去 。 
再 证 明 Pr[B(T)==1|D] 二 Pr[Succ]。 因 为 事件 D 发 生 时 ,gs 二 gf ,gs 二 gi,g4 一 gY 


三 g(x 和 7 是 随机 选取 的 )。 而 公开 钥 和 密 文 的 分 布 与 ElGamal 加 密 方案 在 实际 执行 是 
一 样 的 ,所 以 BB 输出 1 当 且 仅 当 A 成 功 。 


Pr[B(T)=1]=Pr[D]Pr[B(T)=1|D]+Pr[R]Pr[B(T)=1|R] = 去 Pr[Suce] 十 


去。 也, Pr [BC(T)=0] = Pr [D] Pr [BCT)=0|D] + Pr [R] Pr [B(T)=0|R] = 





[1 Pr[Succ]]+ 3 。 冰 , 所 以 |Pr[BCT)=1] 一 Pr[B(T)==0]| 一 Pr[Suce] 一 广 。 
即 如 果 A 能 以 某 个 不 可 忽略 的 优势 e(x) 攻 击 EIGamal 加 密 方案 , 则 B 可 以 相同 的 优势 攻 
击 DDH 假设 。 

注意 两 个 事件 BCT)==0 与 B(T)=1 一样 ,所 以 |Pr[B(T)=1] 一 Pr[B(T)=0]| 与 
定义 9-3 中 优势 的 定义 一 致 。 (定理 9-1 证 毕 ) 


912 公 钥 加 密 方 案 在 选择 密 文 攻击 下 的 不 可 区 分 性 


IND CPA 安全 仅 保证 敌手 是 完全 被 动 的 情况 时 ( 即 仅 做 监听 ) 的 安全 ,不 能 保证 敌手 
是 主动 情况 时 (例如 向 网 络 中 注入 消息 ) 的 安全 。 
例如 ,在 EIGamal 加 密 方案 中 ,敌手 收 到 密 文 为 CT= (Ci,C; ) ,构造 新 的 密 文 CT 一 
(Ci,Cs), 其 中 Cs = CM', 解 密 询问 后 得 到 M” 二 MM 。 或 者 构造 新 的 密 文 CT = 
(C1,Cz), 其 中 C1=Cig* ,C2 二 Coy*M' ,此 时 
Ci= gg* =gH*, C= YMy*M’ = y MM 


解密 询问 后 仍 得 到 M' 一 MM'。 再 由 Mr mod ,得 到 CT 的 明文 M。 


可 见 ,ElGamal 加 密 算 法 不 能 抵抗 主动 攻击 。 

再 看 一 例 , 假如 在 密封 递 价 拍卖 中 使 用 ElGamal 加 密 方案 。 密 封 递 价 拍卖 就 是 竞价 
人 把 自己 的 竞价 加 密 后 公开 发 给 拍卖 人 ,由 拍卖 人 比较 所 有 竞价 , 价 高 者 获胜 。 这 样 的 拍 
卖方 式 不 允许 竞价 人 看 到 别人 的 价格 之 后 加 价 ,而 是 自己 给 出 自己 的 评估 价格 ,避免 恶意 
竞争 。 

假设 拍卖 者 的 公 钥 是 pk = (g,y=g”), 第 一 个 竞价 人 发 送 的 竞价 为 M, 使 用 
ElGamal 加 密 方案 加 密 后 公开 发 送 给 拍卖 者 ,那么 只 要 第 二 个 竞价 人 看 到 第 一 个 竞价 人 
的 密 文 ,他 可 以 提交 如 下 的 密 文 来 竞价 : 





C= (CC: ) 





竞价 人 1 C<(g',y :MD 一 一 一 一 拍卖 人 解密 得 到 M 
竞价 人 2 C=(Ci,C; + a) 2 拍卖 人 解密 得 到 M' 二 M wa 
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这 样 的 话 , 即 使 第 二 个 竞价 人 不 知道 第 一 个 竞价 人 的 价格 ,只 要 a 二 1, 他 就 能 保证 自 
己 的 竞价 大 于 第 一 个 竞价 人 的 竞价 。 

再 比如 使 用 ElIGamal 加 密 方案 的 信用 卡 验证 系统 , 设 用 户 的 信用 卡号 为 Cl ,Cs ,…， 
Cs (每 个 C; 表示 一 个 比特 ) ,用 商家 的 公开 钥 pk 逐 比 特 加 密 : 

yo 0 ey DR (02 2 EY RE Of A 
将 密 文 发 送 给 商家 , 然后 商家 回复 接受 或 者 拒绝 ,表示 这 个 信用 卡 是 否 有 效 。 敌 手 要 获 
得 信用 卡号 ,只 需要 把 第 一 个 密 文 换 成 Ex. (0), 然 后 提交 给 商家 ,商家 如 果 接 受 ,就 说 明 
第 一 位 就 是 0; 如果 拒绝 ,就 说 明 第 一 位 是 1。 如 此 继续 ,就 可 以 得 到 整个 卡号 。 

为 了 描述 敌手 的 主动 攻击 ,1990 年 Naor 和 Yung 提出 了 ( 非 适 应 性 ) 选 择 密 文 攻击 
(Chosen Ciphertext Attack,CCA) 的 概念 ,其 中 敌手 在 获得 目标 密 文 以 前 ,可 以 访问 解密 
论 言 机 (Oracle) 。 政 手 获得 目标 密 文 后 ,希望 获得 目标 密 文 对 应 的 明文 的 部 分 信息 。 

IND 游戏 ( 称 为 IND-CCA 游戏 ) 如 下 : 

(1) 初始 化 。 挑 战 者 产生 系统 匡 , 敌 手 获得 系统 的 公开 钥 。 

(2) 训练 。 敌 手 向 挑战 者 (或 解密 论 言 机 ) 做 解密 询问 (可 为 多 项 式 有 界 次 ), 即 取 密 
文 CT 给 挑战 者 ,挑战 者 解密 后 ,将 明文 给 敌手 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相同 的 消息 Me 和 Mi ,再 从 挑战 者 接收 Me 的 密 文 , 其 
中 随机 值 p<-k {0,1}。 

(4) 猜测 。 敌 手 输出 B ,如 果 ==B, 则 敌手 攻击 成 功 。 

以 上 攻击 过 程 也 称 为 “午餐 时 间 攻 击 ” 或 “午夜 攻击 ”, 相 当 于 有 一 个 执行 解密 运算 的 
黑 盒 ,掌握 黑 盒 的 人 在 午餐 时 间 离 开 后 ,敌手 能 使 用 黑 盒 对 自己 选择 的 密 文 解密 。 午 餐 过 
后 ,给 敌手 一 个 目标 密 文 ,敌手 试图 对 目标 密 文 解密 ,但 不 能 再 使 用 黑 盒 了 。 

第 (2) 步 可 以 形象 地 看 作 是 敌手 发 起 攻击 前 ,敌手 对 自己 的 训练 (自学 ) ,这 种 训练 可 
通过 挑战 者 ,也 可 通过 解密 论 言 机 进行 。 论 言 机 也 称 为 神 论 、 神 使 或 传神 论 者 ， 神 论 是 古 
代 和 希腊 的 一 种 迷信 活动 ,由 女 祭 祀 代 神 传 论 ,解答 疑难 者 的 吨 问 ,她 们 被 认为 是 在 传达 神 
的 旨意 。 因 为 在 IND-CCA 游戏 中 ,除了 要 求 敌手 是 多 项 式 时 间 的 ,不 能 对 敌手 的 能 力 做 
任何 限制 ,敌手 除了 自己 有 攻击 IND-CCA 游戏 的 能 力 外 ,可 能 还 会 借助 于 外 力 , 这 个 外 
力 是 谁 ? 是 他 人 还 是 神 ,我 们 不 知道 ,所 以 统称 为 论 言 机 。 

敌手 的 优势 定义 为 安全 参数 k 的 函数 : 

1 


Adv8A (ec) 一 |Pr[g = 站 一 亏 


上 述 IND-CCA 游 戏 可 形式 化 地 描述 如 下 ,其 中 公 钥 加 密 方 案 是 三 元 组 = 
(KeyGen,E.D), 
Exp&KA (x) : 
(pk,sk)<—KeyGen(xr); 
(Mo ,Mi )< 一 Apza (pk) ,其 中 | Mo| 王 |M |; 
Br{0,1},C’ 一 Eu (Mg); 
BACk:C ); 
如 果 二 B, 则 返回 1; 和 否则 返回 0. 
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敌手 的 优势 定义 为 : 
Adv8A (ec) 一 | Pr[Exp&KA(c) 一 1] 一 去 


游戏 中 (Mo ,Mi ) 一 A?s"” (pk) 表 示 敌 手 的 输入 是 pk, 在 访问 解密 论 言 机 Dx(*) 后 ， 
输出 (Mo ,Mi ) 。 

定义 9-4 ”如 果 对 任何 多 项 式 时 间 的 敌手 A, 存 在 一 个 可 和 忽略 的 函数 cel(x) ,使 得 
Adv8A (kk) 三 elx) ,那么 就 称 这 个 加 密 算法 卫 在 选择 密 文 攻击 下 具有 不 可 区 分 性 ,或 者 称 
为 IND-CCA 安全 的 。 


913 公 钥 加 密 方 案 在 适应 性 选择 密 文 攻击 下 的 不 可 区 分 性 


1991 年 ,Dolev、Dwork、Naor 以 及 Sahai 提出 了 适应 性 选择 密 文 攻击 (Adaptive 
Chosen Ciphertext Attack ,CCA2) 的 概念 ,其 中 敌手 获得 目标 密 文 后 ,可 以 向 网 络 中 注 和 人 
消息 (可 以 和 目标 密 文 相关 ) ,然后 通过 和 网 络 中 的 用 户 交 互 ,获得 与 目标 密 文 相应 的 明文 
的 部 分 信息 。 

IND 游戏 ( 称 为 IND-CCA2 游戏 ) 如 下 : 

(1) 初始 化 。 挑 战 者 产生 系统 卫 , 敌 手 获得 系统 的 公开 钥 。 

(2) 训练 阶段 1。 政 手 向 挑战 者 (或 解密 论 言 机 ) 做 解密 询问 (可 为 多 项 式 有 界 次 ), 即 
取 密 文 CT 给 挑战 者 ,挑战 者 解密 后 ,将 明文 给 敌手 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相 同 的 消息 Ms 和 M ,再 从 挑战 者 接收 Ms 的 密 文 
C" ,其 中 随机 值 8 <k {0,1}。 

(4) 训练 阶段 2。 敌手 继续 向 挑战 者 (或 解密 论 言 机 ) 做 解密 询问 (可 为 多 项 式 有 界 
次 ), 即 取 密 文 CT 给 挑战 者 (CT 天 C” ) ,挑战 者 解密 后 将 明文 给 敌手 。 

(5) 猜测 。 敌 手 输出 8 ,如 果 厅 一 8, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 k 的 函数 : 

Advl (ec)= | Pr[p 一 由 一 二 
上 述 IND-CCA2 游 戏 可 形式 化 地 描述 如 下 ,其 中 公 钥 加 密 方 案 是 三 元 组 I= 
(KeyGen,E.D), 
Exp&A (x) : 
(pk,sk)<— KeyGen(xr); 
(Mo ,Mi )<- A (pk), 其 中 |Mo|= |M |; 
Br{0,1},C” = Ey (Mg); 
PB < 一 Apu<c' } (pk,C” ); 
如 果 B = B, 则 返回 1; 否则 返回 0. 
其 中 Ds*c" (") 表 示 敌 手 不 能 向 解密 论 言 机 Ds(*) 询 问 C*。 敌 手 的 优势 定义 为 : 


Adv8gtz (x)= |Pr[ExpRA (ce) = 1 一 六 


定义 9-5 如果 对 任何 多 项 式 时 间 的 敌手 A, 存 在 一 个 可 忽略 的 函数 ce(x) ,使 得 
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Advge (ce) 生 ec) ,那么 就 称 这 个 加 密 算 法 荆 在 适应 性 选择 密 文 攻击 下 具有 不 可 区 分 性 ， 
或 者 称 为 IND-CCA2 安全 的 。 

在 设计 抗击 主动 敌手 的 密码 协议 时 (如 数字 签名 、 认 证 、 密 钥 交 换 、 多 方 计算 等 )， 
IND-CCA2 安全 的 密码 系统 是 有 力 的 密码 原 语 2。 


914 归 约 


归 约 是 复杂 性 理论 中 的 概念 ,如 果 一 个 问题 已 归 约 到 问题 P;, 且 已 知 解决 问题 已 的 
算法 Ml ,我 们 能 构造 另 一 算法 Ms ,M: 可 以 用 M, 作为 子 程序 ,用 来 解决 问题 P 。 把 归 约 
方法 用 在 密码 算法 或 安全 协议 的 安全 性 证 明 , 可 把 
敌手 对 密码 算法 或 安全 协议 (问题 P, ) 的 攻击 归 约 到 
一 些 已 经 得 到 深入 研究 的 困难 问题 (问题 P, ) 。 即 如 
果 敌 手 A 能 够 对 算法 或 协议 发 起 有 效 的 攻击 ,就 可 
以 利用 A 构造 一 个 算法 B 来 攻破 困难 问题 ,如 图 9-1 
所 示 , 从 而 得 出 矛盾 。 根 据 反 证 法 ,敌手 能 够 对 算法 
或 协议 发 起 有 效 攻击 的 假设 不 成 立 。 注 意 和 反 证 法 9-1 ”密码 方案 到 困难 问题 的 归 约 
的 区 别 , 反 证 法 是 确定 性 的 ,而 归 约 一 般 是 概率 性 的 。 

归 约 的 效率 问题 : 如果 问题 P, 到 问题 P,/ 有 两 种 归 约 方法 ,而 归 约 一 的 概率 大 于 归 约 
二 的 概率 , 则 称 归 约 一 比 归 约 二 紧 。“ 紧 ”是 一 个 相对 的 概念 。 

一 般 地 ,为 了 证 明 方 案 1 的 安全 性 ,我 们 可 将 方案 1 归 约 到 方案 2, 即 如 果 敌 手 A 能 
够 攻击 方案 1, 则 敌手 B 能 够 攻击 方案 2, 其 中 方案 2 是 已 证 明 安全 的 ,或 是 一 困难 问题 ， 
或 是 一 密码 本 原 @。 

证 明 过 程 还 是 通过 思维 实验 来 描述 ,首先 由 挑战 者 建立 方案 2 ,方案 2 中 的 敌手 用 B 
表示 ,方案 1 中 的 敌手 用 A 表示 。B 为 了 攻击 方案 2, 它 利用 A 作为 子 程序 来 攻击 方案 
1。B 为 了 利用 A, 它 必须 模拟 A 的 挑战 者 对 A 加 以 训练 ,因此 B 又 称 为 模拟 器 。 过 程 如 
图 9-2 所 示 。 

具体 步骤 如 下 : 

(1) 挑战 者 产生 方案 2 的 系统 。 

(2) 敌手 B 为 了 攻击 方案 2 ,接受 挑战 者 的 训练 。 

(3) B 为 了 利用 敌手 A, 对 A 进行 训练 , 即 作 为 A 的 挑战 者 。 

(4) A 攻击 方案 1 的 系统 。 

(5) B 利 用 A 攻击 方案 1 的 结果 ,攻击 方案 2。 

对 于 加 密 算法 来 说 ,图 9-2 中 的 方案 1 取 为 加 密 算法 ,如 果 其 安全 目标 是 语义 安全 ， 
即 敌 手 A 攻击 它 的 不 可 区 分 性 ,敌手 BB 模拟 A 的 挑战 者 ,和 A 进行 IND 游戏 。 称 此 时 A 
对 方案 1 的 攻击 为 模拟 攻击 。 在 这 个 过 程 中 ,B 为 了 达到 自己 的 目标 ,而 利用 A,A 也 许 





@ 原 语 是 指 由 若干 条 指令 组 成 的 ,用 于 完成 一 定 功能 的 一 个 过 程 。 
回 本 原意 指 根本 、 事 物 的 最 重要 部 分 ,密码 本 原意 指 密码 中 最 根本 的 问题 
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加 攻击 





图 9-2 两 个 方案 之 间 的 归 约 


不 愿意 被 B 利用。 但 如 果 B 的 模拟 使 得 A 不 能 判别 是 和 自己 的 挑战 者 交互 还 是 和 模拟 
的 挑战 者 交互 , 则 称 B 的 模拟 是 完备 的 。 

对 于 其 他 密码 算法 或 密码 协议 来 说 ,首先 要 确定 它 要 达到 的 安全 目标 ,如 签名 方案 的 
不 可 伪造 性 等 ,然后 构造 一 个 形式 化 的 敌手 模型 及 思维 实验 ,再 利用 概率 论 和 计算 复杂 性 
理论 ,把 对 密码 算法 或 密码 协议 的 攻击 归 约 到 对 已 知 困难 问题 的 攻击 。 这 种 方法 就 是 可 
证 明 安全 性 。 

可 证 明 安全 性 是 密码 学 和 计算 复杂 性 理论 的 天 作 之 合 。 过 去 几 十 年 ,密码 学 的 最 大 
进展 是 将 密码 学 建立 在 计算 复杂 性 理论 之 上 ,并 且 正 是 计算 复杂 性 理论 将 密码 学 从 一 门 
艺术 发 展 成 为 一 门 严格 的 科学 。 
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在 RSA 加 密 方 案 中 ,如 果 消 息 M 是 Z; 中 均匀 随机 的 ,用 公开 钥 (n,e) 对 M 加 密 , 则 
敌手 不 能 恢复 M。 然 而 如 果 敌 手 发 起 选择 密 文 攻击 ,以 上 性 质 不 再 成 立 。 比 如 敌手 截获 
密 文 CT 三 M* mod n 后 ,选择 随机 数 rkZ; ,计算 密 文 CT' 三 x，CT mod n, 将 CT’ 给 挑 
战 者 ,获得 CT’ 的 明文 M' 后 ,可 由 M 三 Mr7! mod n 恢复 M ,这 是 因为 

Mi (CT)r 三 (Me rr Mr 三 rmMr 三 Mmody 

为 使 RSA 加 密 方 案 可 抵抗 敌手 的 选择 明文 攻击 和 选择 密 文 攻击 , 需 对 其 加 以 

修改 。 


921 RSA 问 题 和 RSA 假 设 


RSA 问题 : 已 知 大 整数 me,y<aZ; ,满足 1 二 e 二 gp() 且 gcd(p(o),e) 一 1, 计 算 六 
mod n。 


RSA 假定 : 没有 概率 多 项 式 时 间 的 算法 解决 RSA 问题 。 
922 选择 明文 安全 的 RSA 加 密 


设 GenRSA 是 RSA 加 密 方 案 的 密 钥 产 生 算法 , 它 的 输入 为 <, 输 出 为 模 数 (为 2 个 
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k 比特 素数 的 乘积 ) ,整数 evd 满足 ed 二 1 mod gp(n)。 又 设 昌 :{0,1}* 王 {0,1} 中 是 一 个 
哈 希 函数 ,其 中 !(e) 是 一 个 任意 的 多 项 式 。 
加 密 方案 工 ( 称 为 RSA-CPA 方案 ) 如 下 : 
密 钥 产生 过 程 : 
KeyGen(Ce) : 
(nesd)<GenRSA(xr); 
pk=(n,e) ,sk= (n.d). 
加 密 过 程 (其 中 ME {0,1}"®): 
Ev (M): 
2 


输出 ( mod n, H(r)®OM). 


解密 过 程 : 
Ds (C1,C; ): 
7 一 CY mod n; 
输出 五 (中 C:. 
解密 过 程 的 正确 性 是 显然 的 。 


在 对 方案 进行 安全 性 分 析 时 ,将 其 中 的 哈 希 函数 视 为 随机 论 言 机 。 随 机 论 言 机 
(Random Oracle) 是 一 个 魔 盒 , 对 用 户 ( 包 括 敌 手 ) 来 说 , 魔 盒 内 部 的 工作 原理 及 状态 都 是 
未 知 的 。 用 户 能 够 与 这 个 魔 盒 交 互 ,方式 是 向 魔 盒 输入 一 个 比特 串 zx, 魔 盒 输出 比特 串 y 
(对 用 户 来 说 ,y 是 均匀 分 布 的 ) 。 这 一 过 程 称 为 用 户 向 随机 论 言 机 的 询问 。 

因为 这 种 哈 希 函数 工作 原理 及 内 部 状态 是 未 知 的 ,因此 不 能 用 通常 的 公开 哈 希 函数 。 
在 安全 性 的 归 约 证 明 中 ( 见 图 9-2) ,敌手 A 需要 哈 希 函 数值 时 ,只 能 由 敌手 B 为 他 产生 。 
之 所 以 以 这 种 方式 使 用 哈 希 函数 ,是 因为 B 要 把 欲 攻击 的 困难 问题 嵌入 到 哈 希 函数 值 
中 。 这 种 安全 性 称 为 随机 论 言 机 模型 下 的 。 如 果 不 把 哈 希 函数 当 作 随机 论 言 机 , 则 安全 
性 称 为 标准 模型 下 的 。 

定理 9-2 设 旷 是 一 个 随机 论 言 机 ,如 果 与 GenRSA 相关 的 RSA 问题 是 困难 的 , 则 
RSA-CPA 方案 工 是 IND-CPA 安全 的 。 

具体 来 说 ,假设 存在 一 个 IND-CPA 敌手 A 以 e(e) 的 优势 攻破 RSA-CPA 方案 三, 那 
么 一 定 存在 一 个 敌手 B 至 少 以 

AdvgsA(kc) > 2e(x) 
的 优势 解决 RSA 问题 。 
证 明 十 的 IND-CPA 游戏 如 下 : 
ExpRAA (ke) ; 

(nerd)<— GenRSA(r); 

pk = (ne) ,sk = (n.d); 

H<r{H: {0,1}* —> {0,1}® }; 
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(Mo ,Mi )<- An (pk), 其 中 |Mo|= |Mi|= (x); 
Br{0,1} sr RZ; 1C* = (rr mod n,H(r) ©® Ms); 
PB < AM™ (pk,C’ ); 
如 果 p = 8, 则 返回 1; 和 否则 返回 0 
其 中 { 互 : {0,1}* 一 {0,1)52} 表 示 {0,1} 到 {0,1}52 的 哈 希 函数 族 。 敌 手 的 优势 定义 
为 安全 参数 < 的 函数 : 


Adv8sAcA (x)= | PrLExp8sAceA(c) = 1]— 立 | 





下 面 证 明 RSA-CPA 方案 可 归 约 到 RSA 假设 。 
敌手 B 已 知 (n,e,&1), 以 A( 攻 击 RSA-CPA 方案 ) 作 为 子 程序 ,进行 如 下 过 程 ( 见 


图 9-3) ,目标 是 计算 ?二 (61)* mod n。 












@ M、 Mi 





儿 构造 的 密 文 C” 





加 输出 
RSA 问 题 


回 输出 
图 9-3 RSA-CPA 方 案 到 RSA 的 归 约 


(1) 选取 一 个 随机 串 h<-k {0,1)"* ,作为 对 五 (7) 的 猜测 值 ( 但 是 实际 上 B 并 不 知道 
让。 将 公开 钥 (n,e) 给 A。 

(2) 有 H 询问 : B 建立 一 个 表 昌 (初始 为 空 ) ,元素 类 型 (x;.hi),A 在 任何 时 候 都 能 
发 出 对 HW 的 询问 ,B 做 如 下 应 答 ( 设 询问 为 z) : 

。 如果 工 已 经 在 玉宇 , 则 以 (z,h) 中 的 有 应答; 

。 如 果 x 三 6 mod n, 以 应答, 将 (zx, 有 存 人 表 中 ,并 记 下 7 二 zx。 

。 否则 随机 选择 h<-k {0,1)"® ,以 有 应答, 并 将 (zr,h) 存 人 表 中 。 

(3) 挑战 : A 输出 两 个 要 挑战 的 消息 Ms 和 Mo ,B 随机 选择 8<-k{0,1} ,并 令 2 一 /四 
Me ,将 (ccz ) 给 A 作为 密 文 。 

(4) 在 A 执行 结束 后 (在 输出 其 猜测 8 之 后 ) .B 输出 第 (2) 步 记 下 的 7 一 x。 

设 7 夸 示 事 件 : 在 模拟 中 A 发 出 有 (7) 询问 , 即 及 (7) 出 现在 中。 


言 9-1 在 以 上 模拟 过 程 中 ,B 的 模拟 是 完备 的 。 


证 明 在 以 上 模拟 中 ,A 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 这 是 因为 
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(1) A 的 互 询问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 。 而 在 A 对 二 的 真实 攻击 中 ， 
A 得 到 的 是 互 的 函数 值 , 由 于 假定 瑟 是 随机 论 言 机 ,所 以 A 得 到 的 互 的 函数 值 是 均 
匀 的 。 


(2) 1GMs 对 A 来 说 ,为 对 Ms 做 一 次 一 密 加 密 。 由 有 的 随机 性 ,h 四 Ms 对 A 来 说 
是 随机 的 。 

所 以 两 种 视图 不 可 区 分 。 (断言 9-1 证 毕 ) 

断言 9-2 ”在 上 述 模 拟 攻 击 中 Pr[70 写 2。 


证 明 显然 有 Pr[ExpBAC?A (Cx) 二 1 | -0 一 去。 又 由 A 在 真实 攻击 中 的 定义 ,可 知 
A 的 优势 大 于 等 于 ,得 A 在 模拟 攻击 中 的 优势 也 为 | Pr[ExpBA™™^ (x) 二 1] 一 


Pr[ExpBA ?A (x)=1] 
=Pr[ExpBA A(x)=1| "HPr[ -H+Pr[ExpEA x)=1|H) Pr[NH) 


Ll 
2 





Pr[ExpBA (kr)=1| -HPr[ -1 +Pr[M= 志 Pr[ 7H]+Pr[H] 


Pr[ExpBsA A(x)=1]>Pr[ExpRA ?A (x)=1| -HPr[- HH] 


1 | 
到 (1 一 Pr[79 ) 一 亏 一 却 Pr[71 








所 以 < 去 Pr[ExpgtCe) 一 1] 一 壮 二 Pr[70 , 即 模拟 攻击 中 Pr[74 三 2 
(断言 9-2 证 毕 ) 
由 以 上 两 个 断言 ,在 上 述 模拟 过 程 中 7 以 至 少 2e 的 概率 出 现在 互 后 。 若 7 人 发 生 , 则 也 
在 第 (2) 步 可 找到 zx 满足 xz“=6 modn, 即 zx 三 ?三 (61)* mod n。 所 以 B 成功 的 概率 与 7 发 
生 的 概率 相同 。 (定理 9-2 证 毕 ) 
定理 9-2 已 证 明 苞 是 IND-CPA 安全 的 ,然而 它 不 是 IND-CCA 安全 的 。 敌 手 已 知 密 
文 CT= (C1,C; ) ,构造 CT'=(C ,CM ) ,给 解密 论 言 机 , 收 到 解密 结果 为 M “一 M 中 
M ,再 由 M”M 即 获得 CT 对 应 的 明文 M。 


923 选择 密 文安 全 的 RSA 加 密 


因为 选择 密 文安 全 的 单 钥 加 密 方案 的 构造 较 容易 ,本 节 利 用 选择 密 文安 全 的 单 钥 加 
密 方案 构造 选择 密 文安 全 的 公 钥 加 密 方案 。 
单 钥 加 密 方案 了 = (PrivGen,Enc,Dec) 的 选择 密 文安 全 性 由 以 下 IND-CCA 游戏 来 
刻画 。 
下 xpBaxccA(c) : 
kpris <— PrivGen(Cc); 
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(Mo ,Mi ) Aa Da ,其 中 |Mo|= |M|= 7(x); 
Br{0,1},C” = Enc,,, CMa); 
有 一 A De te" CC” )s 
如 果 p = B, 则 返回 1; 否则 返回 0. 
其 中 Decr , ,zc"〈(*) 表 示 敌 手 不 能 对 C’ 访问 Decs,(*)。 敌 手 的 优势 可 定义 为 安全 参数 
的 函数 : 
AdvfixccA (kx)= |Pr[ExphEX°* (rk)=1] -六 
单 钥 加 密 方案 匡 的 安全 性 定义 与 定义 9-1 定义 9-4、 定 义 9-5 类 似 。 
设 GenRSA 及 瑟 如 前 ,了 = (PrivGen,Enc,Dec) 是 一 个 密 钥 长 度 为 <, 消息 长 度 为 
Lx) 的 IND-CCA 安全 的 单 钥 加 密 方案 。 
选择 密 文安 全 的 RSA 加 密 方案 了 二 (KeyGen,E,D)( 称 为 RSA-CCA 方案 ) 构 造 
如 下 : 
密 钥 产生 过 程 : 
KeyGen(x«): 
(nesd)<GenRSA(r); 
pk= (n,e) ,sk= (n.d). 
加 密 过 程 (其 中 ME {0,1}"®): 
Ex (M): 
Fe Ze 
h=H(r); 
输出 ( mod n,Enc, (M) ). 
解密 过 程 : 
Ds (C1 ,Cs ): 
7 一 CY mod n; 
h=H(r); 
输出 Dec, (C;). 
定理 9-3 设 妃 是 随机 论 言 机 ,如 果 与 GenRSA 相关 的 RSA 问题 是 困难 的 , 且 工 是 
IND-CCA 安全 的 , 则 RSA-CCA 方 案 正 是 IND-CCA 安全 的 。 
具体 来 说 ,假设 存在 一 个 IND-CCA 敌手 A 以 ee) 的 优势 攻破 RSA-CCA 方 案 卫 , 那 
么 一 定 存在 一 个 敌手 B 至 少 以 
AdvgsA (xk) > 2e(x) 


的 优势 解决 RSA 问题 。 
证 明 I 的 IND-CCA 游戏 如 下 : 
ExpBA CC (rk) : 


(nerd)<— GenRSA(r); 
pk = (n,e),sk = (n.d); 
Ha{H: {0,1)” > {0,1}®)}; 
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(Mo ,Mi ) < Ara (pk), 其 中 |Mo|= |M|= L(x); 
Bg{0,1},r RZ; ,C = (r° mod n,Enc pw (Mg)); 
P< Awe HOCpR CD)5 
如 果 p = B, 则 返回 1; 否 则 返回 0. 
其 中 Di,zc*(*) 表 示 敌 手 不 能 对 C* 访问 Ds(*)。 敌 手 的 优势 定义 为 安全 参数 «的 
函数 : 
AdvgAccA (K) 一 | Pr[Exp8AccA(c) 一 1] 一 


下 面 证 明 RSA-CCA 方案 可 归 约 到 RSA 问题 。 
敌手 B 已 知 (x,e,61), 以 A( 攻 击 RSA-CCA 方案 I') 作 为 子 程序 ,执行 以 下 过 程 (在 
图 9-3 中 ,将 RSA-CPA 改 为 RSA-CCA) ,目标 是 计算 7 二 (61)* mod n。 
(1) 选取 一 个 随机 串 h<-k {0,1)*? ,作为 对 也 (7) 的 猜测 (但 实际 上 B 并 不 知道 
将 公开 钥 pk 二 (n,e) 给 A。 
(2) 有 H 询问: B 建立 一 个 H™, 元 素 类 型 为 三 元 组 (r,ci,h) ,初始 值 为 (* ,6 ,有 h) ,其 
中 * 表示 该 分 量 的 值 目前 未 知 。A 在 任何 时 候 都 能 对 HY 发 出 询问 。 设 A 的 询问 是 x,B 
计算 oi 三 r* mod 7 并 做 如 下 应 答 : 
。 如 果 HH* 中 有 一 项 (r,c yj) , 则 以 六 应 
。 如 果 互 呈 中 有 一 项 C* ,c,h), 则 以 有 应 $ 并 在 五 呈 中 以 (rc yj 替换 (* ,cj) 。 
。 否则 ,选取 一 个 随机 数 h<-k {0,1)" ,以 h 应 答 并 在 表 中 存储 (x,ci,h)。 
(3) 解密 询问 : 
A 向 B 发 起 询问 (I ,6 ) 时 ,B 应 答 如 下 : 
。 如 果 Hi 中 有 一 项 ,其 第 二 元 素 为 c; ( 即 该 项 为 (F,ci , 甩 ) ,其 中 二 Ci mod n, 或 
者 为 (* ,ci 用)), 则 以 Decr (cs) 应 答 。 
。 否则 ,选取 一 个 随机 数 关 <R {0,1 入 ,以 Decr (cs) 应 答 , 并 在 H* 中 存储 (x ,ci， 
Rys 
(4) 挑战 A 输出 消息 Mo ,Mi E€ {0,1)**。B 随机 选取 B<k {10,1), 计 算 6= 
Enci (Msp)。 以 (6&6;) 应 答 A。 继 续 回 答 A 的 日 询问 和 解密 询问 (A 不 能 询问 
KG ye 
(5) 猜测 : A 输出 猜测 B 。B 检查 His ,如 果 有 项 (7,61 ,有 ) , 则 输出 产 。 
设 7 夸 示 事件 : 在 模拟 中 A 发 出 瓦 ( 记 询问 , 即 及 G7) 出 现在 H* 中 。 
言 9-3 在 以 上 模拟 过 程 中 ,B 的 模拟 是 完备 的 。 
证 明 在 以 上 模拟 中 ,A 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 这 是 因为 : 
(1) A 的 互 询 问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 。 
(2) B 对 A 的 解密 询问 的 应 答 是 有 效 的 。B 对 (ccs) 的 应 答 为 Decr (cz) ,根据 HH™ 
的 构造 ,对 应 的 7 满足 7* 寺 c1 mod n 及 有 二 电 (7), 因 而 Decs (cs) 是 有 效 的 。 
所 以 两 种 视图 不 可 区 分 。 (断言 9-3 证 毕 ) 
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言 9-4 在 上 述 攻击 中 Pr[7U 写 2e。 
证 明 在 上 述 攻击 中 ,如 果 五 (7 不 出 现在 H* 中 , 则 A 未 能 得 到 h, 由 6 一 Enc? (Mg) 
及 Enc 的 IND-CCA 安全 性 ,得 Pr[8 一 B| -10 一 十。 其 余部 分 与 断言 -2 的 证 明 相同 。 


(断言 9-4 证 毕 ) 
由 以 上 两 个 断言 ,在 上 述 模 拟 过 程 中 7 以 至 少 2e 的 概率 出 现在 阳 *,B 在 第 (5) 步 逐一 
检查 H* 中 的 元 素 ,所 以 B 成 功 的 概率 等 于 7 的 概率 。 (定理 9-3 证 毕 ) 


os Paillier 公 钥 密码 系统 





9.2 节 介绍 的 方案 ,其 安全 性 证 明 是 在 随机 论 言 机 模型 下 进行 的 , 即 把 其 中 的 哈 希 函 
数 看 成 随机 论 言 机 。 但 这 种 证 明 不 能 排除 敌手 可 能 不 通过 攻击 方案 所 基于 的 困难 性 问题 
而 攻击 方案 ,或 者 不 通过 找 出 哈 希 函数 的 某 种 缺陷 而 攻击 方案 。 下 面 介绍 的 Paillier 公 钥 
密码 系统 和 Cramer-Shoup 公 钥 密码 系统 ,它们 的 安全 性 证 明 不 使 用 随机 论 言 机 模型 ,这 
种 证 明 模型 称 为 标准 模型 。 

Paillier 公 钥 密码 系统 基于 合 数 寡 剩余 类 问题 , 即 构造 在 模 数 取 为 妈 的 剩余 类 上 ,其 
中 二 pq,p\g 为 两 个 大 素数 。 

设 CP 是 一 类 问题 集合 ,如 果 CP 中 的 任 一 实例 可 在 多 项 式 时 间 内 归 约 到 另 一 实例 或 
另外 多 个 实例 ,就 称 CP 是 随机 自 归 约 的 。CP 中 问题 的 平均 复杂 度 和 最 坏 情况 下 的 复杂 
度 相 同 ( 相 差 多 项 式 因 子 ) 。 


93.1 合 数 曲 剩余 类 的 判定 


定义 9-6 设 n=pq,p、q 为 两 个 大 素数 ,对 *<RZ2 ,如 果 存 在 yEZ2 ,使 得 zx 三 y" 
mod x 亚 , 则 zz 叫 作 模 n? 的 次 剩余 。 

引 理 9-1 

(1) n 次 剩余 构成 的 集合 C 是 Z2 的 一 个 阶 为 p(n) 的 乘法 子 群 ; 

(2) 每 一 个 n 次 剩余 z 有 nn 个 根 ,其 中 只 有 一 个 严格 小 于 nn; 

(3) 单位 元 1 的 nn 次 根 为 (1 十 n)' 寺 1 十 tn (mod ni? ) (t=0,1.…,n 一 1 ); 

(4) 对 任 一 wE2Z%,w* 三 1 mod zr ,其 中 4 是 的 卡 米 软 尔 函数 A(n) 的 简写 。 

证 明 (1) 设 = ,=EC, 则 存在 yw ,yeEZ2 ,使 得 = mod ,zs 三 YW mod rr。 因 
为 YEZY, yy ELS ;所 以 zizz! 夺 (yyyz1)" mod mn*EC, 所 以 C 是 Z% 的 子 群 。 又 设 
y(y 二 n) 是 x 三 y* mod rw? 的 解 ,那么 y 十 in(t 二 0,…,n 一 1 ) 都 是 x 三 y* mod n? 的 解 ,这 是 
因为 

yttn)"=y tny™ tn=y"+y tn =y" mod n= 

所 以 C 中 每 一 元 素 有 个 根 ， 


cl=31z1=3e00) = (3) )= -DD -pm) 
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(2) 在 (1) 的 证 明 中 已 得 。 

(3) 易 证 (1 十 zz)" 王 1 十 6 十 …=1 mod n?。 

(4) 因为 ww 二 1 mod nz 一 1 十 it 为 某 个 整数 。 

w* 二 (1 十 tn)"==1 十 tr 十 … 夺 1 mod n?。 ( 引 理 9-1 证 毕 ) 

合 数 短 剩 余 类 的 判定 问题 是 指 区 分 模 n? 的 次 剩余 与 2 次 非 剩余 ,用 CR[n] 表 示 。 

CR[n] 是 随机 自 归 约 的 ; 设 zi 三 y? mod nn? ,zz 三 YW mod 好, 那么 zz 二 (yzy7!) "zi 
mod mw。 所 以 如 果 zi 是 nn 次 剩余 , 则 zs 也 是 n 次 剩余 , 即 任意 两 个 实例 都 是 多 项 式 等 
价 的 。 

与 素数 剩余 类 的 判定 类 似 , 判 定 合 数 寡 剩 余 类 也 是 困难 的 。 

猜想 ”CR[n] 是 困难 的 。 

这 个 假设 称 为 判定 合 数 寡 剩余 类 假设 DCRA (Decisional Composite Residuosity 
Assumption) 。 由 于 随机 自 归 约 性 ,DCRA 的 有 效 性 仅 依赖 于 n 的 选择 。 


932 合 数 寡 剩余 类 的 计算 
设 sgEZ2 ,ys 是 如 下 定义 的 整 型 值 函 数 : 
Z, XZ PL 
ee yy" modn 
引 理 9-2 如果 g 的 阶 是 的 非 零 信 , 则 必 是 双 射 。 
证 明 因为 |Z, XZ; |= | 如 | 二 ng(7) ,所 以 只 需 证 明 ys 是 单 射 。 
假设 gy 三 gy mod ,那么 g 1 ( 关 )= mod x ,两 边 同 时 取 4 次 方 ,由 引 
理 9-1(4) ,得 gs "二 1 mod ne? ,因此 有 ordw g1X(zs 一 zx1) ,进而 nlA(zs 一 x1), 又 知 当 
n 二 pq 时 ,(4,n)= 二 1, 所 以 n|(zs 一 x1)。 由 x,x2 E22, |zzs 一 Xi | 过 n, 所 以 x = zs。 


Fai ({ 兰 ] = mod 72 变 为 ( 兰 ] =1 mod 好 ,又 由 引 理 9-1(3), 模 n? 下 单位 元 1 的 
二 1 











根 在 Z; 上 是 唯一 的 ,为 1, 所 以 在 Z; 上 , 兰 =1, 即 y= 二 ys。 综 上 ,ys 是 双 射 。 


Yi 
( 引 理 9-2 证 毕 ) 
设 B,CZ% 表 示 阶 为 na 的 元 素 构成 的 集合 ,B 表示 B。 的 并 集 ,其 中 a 二 1,… ,4。 
定义 9-7 设 g€EB, 对 于 wEZ% ,如果 存 在 yEZ; 使 得 ys (xz,y) 二 包 ,; 则 称 zEZ, 为 
w 关 于 g 的 n 次 剩余 , 记 作 [[wjjs。 
引 理 9-3 
(1) [[wjjs==0 当 且 仅 当 w 是 模 n? 的 nn 次 剩余 ; 
(2) 对 任意 wi ,wz E23%, 有 [[vwrwzj]js 圭 [[vwjjs 十 [[wz]jJs mod n。 即 对 于 任意 的 
gEB, 函 数 包 FE[wjjs 是 从 (如 ,X) 到 (Z. ,十 ) 的 同 态 。 
证 明 证 明 很 简单 , 略 去 。 
已 知 wwEZ2 , 求 [[w]];; 称 为 基 为 g 的 n 次 剩余 类 问题 ,表示 为 Class[z,g]。 
引 理 9-4 Class[n,g] 关 于 wE2Z% 是 随机 自 归 约 的 。 
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证 明 对 于 Class[n,g] 的 任 一 实例 wE2% ,在 Z, 上 均匀 随机 选取 a、B (B&F Z; 的 概 
率 是 可 忽略 的 ) ,构造 w 三 wg*pB" mod zr, 则 将 wEZ% 转 换 为 男 一 实例 w EZ%, 求 出 
[[w J]js 后 ,可 计算 出 [[wj]s==[[w js 一 a mod n。 ( 引 理 9-4 证 毕 ) 

引 理 9-5 Class[n,g] 关 于 gE€B 是 随机 自 归 约 的 , 即 

对 任意 g1,g2 EB,Class[n,gi] 二 Class[n,g:] 
其 中 符号 P, 寺 Ps 表 示 问 题 P 和 Ps 在 多 项 式 时 间 内 等 价 。 

证 明 已 知 wE2Z% ,gs€B, 存 在 y1€2; ,使 得 w= gi。。y?。 同 理 对 于 gi ,gs € 

B, 存 在 ys €Z:* ;i = glts2 ls, 。y2。 得 w= gl [Lez]]m i (ys yi )”, 即 
[Cwlls, = [lw]]s, [Lg ls, modn (9-3) 
即 由 [[wjjs 可 求 [[w]]s ,所 以 Class[n,gi] 寺 Class[n,g2]。 

再 由 [[g]]s 一 1, 将 w=gi 代入 [[wjjs 二 [Lwjjs [Lgs]]。 mod ”得 
[Le J Lg]ls, 1 mod n, Bh[La js, = [Le ,Lhwl]s, =[Lw])js, Lg] mod 
n。 所 以 Class[n,gz] 寺 Class[n,g1]。 ( 引 理 9-5 证 毕 ) 

引 理 9-5 说 明 Class [n,g] 的 复杂 性 与 g 无 关 , 因 此 可 将 它 看 成 仅 依赖 于 的 计算 
问题 。 

定义 9-8 称 Class [n] 问 题 为 计算 合 数 窒 剩余 类 问题 , 即 已 知 wEZ%,g€B, 计 
算 [[w]]s。 

设 S, 二 {un |u 三 1 mod n} ,在 其 上 定义 函数 工 如 下 : 


对 任 一 ue 


n 





显然 函数 工 是 良 定 的 。 
引 理 9-6 对 任 一 wEZ%,L(w mod n? )=A [[wjjit, mod n。 
证 明 因为 1 十 n€B, 所 以 存在 唯一 的 (a,6)EZ,XZi, 使 得 w= (1 十 n)b” mod n?， 
即 a==[[wjji+。。 由 引 理 3-1(4) ,6* 寺 1 mod 开 ,所 以 w= (1 十 n)*6* 寺 1 十 ahn mod n?， 
L(w mod rn )=XaX [Lw]]i+, mod no ( 引 理 9-6 证 毕 ) 
定理 9-4 Class[n] 夺 Fact[n]。 
证 明 ”因为 [[gjji+4, 寺 [[1 十 njjz' mod n 是 可 首 的 ,由 引 理 9-6 可 知 L(g* mod n?) 
三 A [Lgjji+, mod n 可 道 。 已 知 n 的 因子 分 解 可 求 * 的 值 。 因 此 ,对 于 任意 的 gEB3 和 
wE2% ,可 以 计算 : 
L(w mod n’:) A[LLwjji [[w]] [Ew 
L(g modn’:) ALLgjjir, LLgjjir 
其 中 最 后 一 步 由 式 (9-1) 得 。 (定理 9-4 证 毕 ) 
用 RSALz,e] 表 示 求 模 半 的 e 次 根 , 即 已 知 wy mod n, 求 y。 
定理 9-5 Class[n] 寺 RSA [n,n]。 
证 明 由 引 理 9-5 可 知 ,Class[n,g] 关 于 gE€B 是 随机 自 归 约 的 , 且 1 十 nxEB, 因 此 ， 
只 需 证 明 : Class[n,1 十 n] 寺 RSA [n,n]。 
假设 敌手 A 能 解 RSA [n,n] 问 题 ,对 于 给 定 的 wEZ%,A 的 目标 是 求 zxEZ, 使 得 
也 一 (1 十 2)zy” mod mY。 由 (1 十 n)* 二 1 mod 2 得 zy mod n,A 由 此 可 求 出 y, 进 一 步 
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由 下 式 可 求 出 zx: = (Ltn)’=l+zn mod 7 。 (定理 9-5 证 毕 ) 


定理 9-6 设 D-Class[z] 是 与 Class[n] 相 关 的 判定 问题 , 即 已 知 wE2Z%,g€E€B 和 zx 

EZ ,判定 z 是 否 等 于 [[wj]s ,那么 下 面 关系 成 立 : 
CR[n]D-Class[n]Class[n] 

证 明 因为 验证 解 比 计 算 解 容易 ,D-Class[n] 寺 Class[n] 显 然 。 

下 面 证 明 CR[n] 圭 D-Class[n]。 

“一 ”已 知 wEZ2,sEB 和 ZEZ., 要 判断 x 是 否 等 于 [[w]]e, 即 判断 是 否 满足 
w 三 gr，。y" mod 下, 改 为 判断 wg 三 y* mod x, 即 判断 wg“ mod n* 是 否 为 模 n? 下 的 n 
次 剩余 。 所 以 敌手 A 若 能 解决 CR[n] 问 题 , 就 能 解决 D-Class[n] 问 题 。 

“二 ” 即 证 明 若 敌手 A 能 解 D-Class[n] 问 题 , 则 能 够 判定 w 是 否 为 n 次 剩余 。 

任 取 gEB, 将 (g,w,z= 二 0) 给 A,A 能 解 D-Class[n] 问 题 , 即 能 判断 是 否 [[wjjs 二 zx 
二 0。 如 果 是 , A 则 得 出 w 是 次 剩余 。 否则 ,ww 不 是 n 次 剩余 。 (定理 9-6 证 毕 ) 

表 9-1 是 以 上 各 关系 的 小 结 。 


表 9-1 与 合 数 宗 相关 的 困难 问题 




















问 题 描 述 
Fact[n] 分 解 n 
RSA[n,e] 已 知 w 三 y mod n, 求 y 
Class[n] 已 知 w 三 gr。y" modn, 求 + 
D-Class[n] 已 知 wE2Z% ,gE€B 和 zxE2, ,判定 xz 是 否 等 于 [[rw]]。 
CR[n] 对 wE2% ,判断 是 否 存在 yE 2% ,使 得 w 三 y" mod 到 
它们 之 间 的 归 约 关系 为 


CR[n] 三 D-Class[n] 寺 Class[n]<RSA [n,n]<Fact[n] 

其 中 除了 在 D-Class[n] 和 CR[n] 之 间 存 在 等 价 关 系 外 ,其 他 问题 之 间 是 否 存 在 等 价 关系 
还 存在 质疑 。 

猜想 ”不 存在 求解 合 数 寡 剩 余 类 问题 的 概率 多 项 式 时 间 算 法 , 即 Class [n] 是 困难 
问题 。 

这 一 猜想 称 为 计算 合 数 剩 余 类 假设 (Computational Composite Residuosity Assumption , 
CCRA)。 它 的 随机 自 归 约 性 意味 着 CCRA 的 有 效 性 仅 依赖 于 的 选择 。 显 然 , 假 如 
DCRA 是 正确 的 ,那么 CCRA 也 是 正确 的 。 但 是 反 过 来 ,仍然 是 一 个 公开 问题 。 


933 基于 合 数 究 剩 余 类 问题 的 概率 加 密 方案 


以 下 加 密 方案 简称 为 Paillier 方案 1。 
密 钥 产生 过 程 : 
KeyGen(Cc) : 
n=pq; 
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gkB 满足 (L(g* mod nr),n)=1; 
pk 一 (2,g) ,sk 二 (p,qg) (或 sk 二 4). 
加 密 过 程 ( 其 中 M<=n): 
Ev (M): 
ror{l, nn}; 
输出 gw%r” mod 72. 
解密 过 程 (其 中 CT=n?): 
Da (CT): 
L(CT* mod n: ) 
L(g modn:) 

Paillier 方案 1 的 正确 性 由 定理 9-4 证 明 过 程 中 的 式 (9-2) 给 出 。 加 密 函 数 是 用 A( 等 
价 于 nn 的 因子 ) 作 为 陷 门 的 陷 门 函数 ,其 单 向 性 是 基于 Class[n] 是 困难 的 。 

定理 9-7 Paillier 方案 1 是 单 向 的 当 且 仅 当 Class[n] 是 困难 的 。 

证 明 方案 中 由 密 文 计算 明文 即 是 Class [nn] 问题 。 

定理 9-8 ”Paillier 方案 1 是 语义 安全 的 当 且 仅 当 CR[n] 是 困难 的 。 

证 明 充分 性 : 反 证 ,假设 Mo。、M 是 两 个 已 知 消息 ,C* 是 其 中 一 个 ( 设 为 Ma) 的 密 
文 , 即 C* 圭 g% rr mod ,因此 C"*g 和 二 rr" mod n?: 是 nn 次 剩余 ,而 Cg -三 
go rar" mod mn? 是 nn 次 非 剩余 。 因 此 敌手 能 够 区 分 C" 对 应 哪个 消息 ,就 能 区 分 次 剩 
余 和 次 非 剩 余 , 与 CR[n] 是 困难 的 矛盾 。 

必要 性 的 证 明 类 似 。 (定理 9-8 证 毕 ) 


934 基于 合 数 究 剩 余 类 问题 的 单 向 陷 门 置 换 
以 下 方案 是 Z% 并 ;的 单 向 陷 门 置换 ,简称 为 Paillier 方案 2。 





mod n=M. 


密 钥 的 产生 过 程 ， 
同 9. 3. 3 节 的 密 钥 产生 过 程 。 
加 密 过 程 (其 中 M< 一 只 ) : 
E, (MD): 
M= M+nM,; 


输出 gm M3 mod n?. 
其 中 M 二 Mi 十 nM 是 将 M 分 成 两 部 分 Mi 、M; (例如 ,可 用 欧 几 里 得 除法 ) 。 
解密 过 程 (其 中 CT=<n): 
Du (CT): 
= ( 唤 , 

M = 加 5 
c CT .ga modn; 
Ms=(c)" ™ mod ns 
返回 M 一 Mi 十 nM;. 

方案 的 正确 性 : 解密 过 程 中 的 第 1 步 得 到 Mi 三 M mod ”第 2 步 恢 复出 Mi mod n， 
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第 3 步 是 公开 钥 为 en 的 RSA 解密 ,最 后 一 步 重组 得 到 原始 M。 

方案 2 为 置换 是 由 于 ys 是 双 射 。 置 换 的 陷 门 是 ”的 因子 。 

定理 99 Paillier 方案 2 是 单 向 的 当 且 仅 当 RSA[z,z] 是 困难 的 。 

证 明 充分 性 : 充分 性 的 证 明 是 将 RSA[n,n] 归 约 到 Paillier 方案 2, 即 若 RSA[n,n] 
是 可 解 的 , 则 Paillier 方案 2 是 可 求 逆 的 。 若 敌手 A 可 解 RSA[n,n] 问 题 , 则 可 解 


Class[n] 问 题 ,A 由 CT 一 gs Mi mod nm? 能 得 出 Mi 及 后 二 M: modnr*。 由 RSA[n,nj 可 


解 ,A 由 MB mod n? 可 得 M,。 
必要 性 : 必要 性 的 证 明 是 将 Paillier 方案 2 归 约 到 RSA [n,n], 即 若 Paillier 方案 2 
是 可 求 道 的 , 则 RSA [n,n] 是 可 解 的 。 设 敌手 A 已 知 w 三 xy mod n, 其 目标 是 求 yp。 又 
设 A 可 求 Paillier 方案 2 的 逆 , 即 A 可 求 出 zy 及 a 6, 使 得 刀 三 g*，y” mod nw 及 1 十 nn 
三 g*。b" mod n?*。 车 zxo 是 的 倍数 , 则 (1 十 n)%==1 十 zon 三 ] mod n?。 
w=%=(1+n) "y= (gb")" y=g" (b™ yo)"=g"""" (gb yo)" mod 于 
其 中 第 4 个 等 式 由 azo= (azodivz)z 十 azo mod n 得 ,div 表示 整除 。 
因 y 是 双 射 ,所 以 aze mod n= 二 x ,go 和 bm yy 一 y。zo 一 Z(a ! modn), y= 
2y (geosnbm ) 1, 即 A 已 求 出 yw。 (定理 9-9 证 毕 ) 
注意 ; 由 J 的 定义 ,Paillier 方案 2 要求 Ms EZ , 若 MZ;, 即 Mi 与 n 不 互 素 ,可 
能 会 导致 M; mod n 三 0, 得 密 文 为 0; 或 者 由 M2 的 因子 可 能 会 分 解 n。 因 此 Paillier 方案 
2 不 能 用 来 加 密 小 于 nn 的 短 消息 。 
数字 签名 : 用 有:N XA0,1}*CZ% 表 示 喻 希 函 数 ,可 以 得 到 如 下 的 数字 签名 方案 : 
给 定 消息 M, 签 名 者 计算 签名 (5s1 ,ss ) 为 : 
Lh (M) modmw) 
L(g* modn’) 
验证 者 检查 : h(M)=g" $3 mod n?。 
推论 (定理 9-9 之 推论 ) 在 随机 论 言 机 模型 中 ,如 果 RSA [n,n] 是 困难 的 ,那么 该 
签名 方案 在 适应 性 选择 消息 攻击 下 ,是 存在 性 不 可 伪造 的 。 


935 Pailier 密码 系统 的 性 质 
Paillier 密码 系统 除了 具有 随机 自 归 约 性 外 ,还 有 如 下 两 个 性 质 。 


1. 加 法 同 态 性 
加 密 函 数 M Hg" mod n? 在 Z, 上 具有 加 同 态 , 即 对 任意 M ,MEZ, ,任意 &AE N, 以 
下 等 式 成 立 : 

















mod ns, $=(h(M)g 3 ) "modn 


D(E(Mi)E(M;:) mod ni’ )=M+M, modn 
D(E (M)* mod ni’ )=kM mod n 
D(E(Mi)g™ modn’)=M:+M, modn 
D(E (Mi)*™ mod72) 

二 MM; mod 7 
D(E (M2:) mod nr:) 
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这 些 性 质 在 电子 选举 、 门 限 加 密 方案 、 数 字 水 印 ,秘密 共享 方案 及 安全 的 多 方 计算 等 
领域 有 重要 应 用 。 


2 重 加 密 

已 知 一 个 公 钥 加 密 方 案 (E,D), 重 加 密 RE(re-encryption) 是 指 已 知 (E,D) 的 一 个 
密 文 CT, 在 不 改变 CT 对 应 的 明文 的 前 提 下 ,将 CT 变 为 男 一 密 文 CT' ,表示 为 CT'= 
RE(CT,r,pk), 其 中 pk 是 公开 钥 ,r 是 随机 数 。 

Paillier 密码 系统 满足 这 一 性 质 。 

对 任 一 MEZ, 和 rEN,E(M)==E(M)E (0) 三 E(M)r" mod mn*。 因 此 DC(E(MD)m 
mod n: )=M., 


5 Cramer-Shoup 密码 系统 





94.1 CramerShoup 密码 系统 的 基本 机 制 


设 G 是 阶 为 大 素数 g 的 群 ,gi 、gs 为 G 的 生成 元 ,明文 消息 是 群 G 的 元 素 ,使 用 单 向 
哈 希 函数 将 任意 长 度 的 字符 映射 到 Z, 中 的 元 素 。Cramer-Shoup 密码 系统 ( 记 为 了 如下: 
密 钥 产 生 过 程 (其 中 7 十 喻 希 函数 集合 ): 
KeyGen(k): 
glrg2 RG; 
Tl1 9 Ta V1 V2 Ts Te RR Las 
cstigh ,d=gh ge¥ ,h=gh gz 
Hr Tl 
sk= (zx1,T2 yy2 2122) ,pk= (gi1,g82c,d,h,H). 
加 密 过 程 (其 中 MEG ): 
Ev (MD : 
[on YA 
uu=gi us =gie=hM,a=H(u ,ue) ,v=cd"™; 


输出 (za ,ws se,v). 





解密 过 程 : 
Du (ui sa ,es0): 
a=H(u ,ue); 
如 果 tir"euer*2 关 v0, 返回 ;否则 返回 。 
方案 的 正确 性 : 


由 汉王 gi ,ws 二 g5 可 知 unus 王 gf?1g 守 二 Cuiu 二 d"。 所 以 


Po ej = 
ul Mus =ufius (uNu¥ ) =cd"=v 


验证 等 式 成 立 。 又 因为 wit 二 r, 所 以 一 < 一 == 蕊 二 M。 


uhiuz h” 
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方案 中 ,明文 是 群 G 中 的 元 素 , 限 制 了 方案 的 应 用 范围 。 如 果 人 允许 明文 是 任意 长 的 比 
特 串 , 则 方案 的 应 用 范围 更 广 。 

942 GQramer-Shoup 密码 系统 的 安全 性 证 明 

设 gs 二 g?, 则 hh 二 gihi+*: 二 gi 。 解 密 时 wiuF 二 gf1 gf 二 gi(%tw2) 二 h"。 所 以 加 密 
过 程 中 的 (ww ,e) 是 以 秘密 钥 x 二 zi 十 wzzs、 公 开 钥 hh 二 gi 的 ElGamal 加 密 算 法 对 消息 滩 
的 加 密 。 由 9. 1. 1 节 知 ,在 DDH 假设 下 ElGamal 加 密 算法 是 IND-CPA 安全 的 ,所 以 
Cramer-Shoup 密码 系统 也 是 IND-CPA 安 全 的 。 密 文中 的 (u,v) 则 用 于 数据 的 完整 性 检 
验 , 以 防止 敌手 不 通过 加 密 算 法 伪造 出 有 效 的 密 文 ,因而 获得 了 IND-CCA2 的 安全 性 。 安 
全 性 的 具体 分 析 如 下 。 

方案 的 安全 性 基于 9.1. 1 节 介 绍 的 Diffie-Hellman 判定 性 假设 (简称 为 DDH 假设 ) 。 
DDH 假设 的 另 一 种 描述 : 没有 多 项 式 时 间 的 算法 能 够 区 分 以 下 两 个 分 布 : 

中 随机 四 元 组 R= (g1g82 U1 ,Uz ) EG' 的 分 布 ; 

。 四 元 组 D= (g182 U1 ,U2 )EG* ,其 中 着 =gi,us = g2 1 一 RD 。 

设 Rou 是 尺 构 成 的 集合 ,Bu 是 DD 构成 的 集合 。 

定理 9-10 设 哈 希 函数 及 是 防 碰撞 的 , 群 G 上 的 DDH 假设 成 立 , 则 Cramer-Shoup 
密码 系统 卫 是 IND-CCA2 安全 的 。 

具体 来 说 ,假设 存在 一 个 IND-CCA2 敌手 A 以 ce(x) 的 优势 攻破 Cramer-Shoup 密码 
系统 也, 那么 一 定 存在 一 个 敌手 B 以 


AdvBo™ (= 去 (oO 


的 优势 解决 DDH 假设 。 
证 明 下 面 证 明 Cramer-Shoup 密码 系统 可 归 约 到 DDH 假设 。 
设 敌 手 B 已 知 四 元 组 T= 王 (gl ， gz, yt)EG:. 以 A( 攻 击 Cramer-Shoup 密码 系 
统 ) 作 为 子 程序 ,目标 是 判断 TE Rbn 还 是 TE Brn。 过 程 如 下 : 
ExpSC (T): 
Ti19T2 V1 VY2 9 Z1 LZ2 RL Hop Hs 
c=ghigs ,d=glig¥ ,h=gh gs; 
sk 一 (ziyzzyyivyzvzlyzz),pk 一 (gl,gcd, 万 ). 
(Ms ,Mi )< 熏 Apza (pk) ,其 中 | Mo| 王 |M |; 
Bg{0,1},e=uhuz Mgra= Hu sus ye) v=uf th ust ; 
C=(u ,ue v0); 
BAPazc' © Cpk,C" ); 
如 果 ==B, 则 返回 1; 否则 返回 0. 
其 中 Dw,zc*"(*) 表 示 敌 手 不 能 对 C* 访问 Das(')。 如 果 ExpPR CT) 一 1,B 认 为 TE 
Pon。 如果 ExpFFX*Y(T) 二 0,B 认 为 TE Ron。 
A 的 优势 定义 为 安全 参数 的 函数 : 
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AdvEt* (k)= 





Pr[8 下 一 上 | 
B 的 优势 定义 为 AdvB" (x) 一 


AdvERC® (kx)。 
育 入 如 果 (gi， BgB2» Uls xz)E Pa 则 B 的 模拟 是 完备 的 。 
证 明 若 (gi, gz, ,Wz)ERBon, 则 有 二 gf 和 ws 一 g5。uhiu 如 二 cu 二 dr" 和 
uu 交 二 hr" ,所 以 B 对 任意 消息 M 以 (gi,gs,c,d,h, 晶 ) 为 公开 钥 加 密 得 到 e 二 Mh ,wv 二 
cd ,以 (ziyzyyiyyvzyzz) 为 秘密 钥 可 正确 解密 ,B 的 模拟 是 完备 的 。 
(断言 9-5 证 毕 ) 
言 9-6 如 果 (gi, gz， tw， wz)€ Ton, 则 A 在 上 述 模 拟 中 的 优势 是 可 忽略 的 。 
证 明 该 断言 由 以 下 两 个 断言 得 到 。 
断言 9-6/ 当 (g, gz, i, www)E Rou 时 ,B 以 不 可 忽略 的 概率 拒绝 所 有 的 无 效 密 文 。 
证 明 考虑 秘密 钥 (zxi ,zx; ,yi,ys) E72, 假设 敌手 A 此 时 有 无 限 的 计算 能 力 ,可 求 
logs,(c)、logs,(d) 以 及 logs, (z) ,那么 A 可 从 公开 钥 (gi,gz,cwd,h,HH) 和 挑战 密 文 
(wsUzserv) 建 立 如 下 方程 组 : 
logs, (c) 一 zl + wr (9-5) 
logs, (d)= yi 十 zy (9-6) 
(9-7) 





Pr[ExpFe*®(T)=1]— 





去 ,显然 AdvB?™ (<) 一 








logs, (v)= nizit wrazs 十 arlyl + awrs yz 

其 中 w=logs (gz ) 。 

假设 敌手 提交 了 一 个 无 效 密 文 (uf ,ul ,e' ,wu ) 关 (wUzserv), 这 里 ui 二 gf ,Wl 二 g 交 ， 
ri¥risa’ =H (us us se )。 

下 面 分 3 种 情况 来 讨论 : 

情况 1, (use ) 二 (yure)。 此 时 a 二 a, 但 v 关 v, 因 此 B 将 拒绝 。 

情况 2, (ui ,ui se) 天 (yye), 且 w 一 c。 

与 哈 希 函数 的 抗 碰 撞 性 矛盾 。 

情况 3, (wi ,xi ,e) 天 (yzye), 且 以 天 ac。 

此 时 也 将 拒绝 ,和 否则 A 可 建立 另 一 方程 


logs, (v )= rzi t+ wrzzs + ariy + awrz ys (9-8) 
因为 
1 w 0 0 
0 0 w 
det wi (rs—r) (rs—ri) (a—a’)A0 











rm wr Qarl QTU712 
a To ar a twrs 
所 以 方程 组 (9-5)、(9-6)、(9-7)、(9-8) 有 了 唯一 解 , 即 A 可 求 出 秘密 钥 (xi ,zz ,yiyyz) 。 
所 以 即使 A 有 无 限 的 计算 能 力 , 他 提交 无 效 的 密 文 使 得 B 接受 的 概率 是 可 忽略 的 。 
(断言 9-6“ 证 毕 ) 
断言 9-6” 若 在 模拟 过 程 中 B 拒绝 所 有 的 无 效 密 文 , 则 A 的 优势 是 可 忽略 的 。 
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证 明 考虑 秘密 钥 (zi ,zs)EZ?,A 可 从 公开 钥 (g1,gs ,c,d,h, 日 ) 建 立 关 于 (zi ,xz) 
的 方程 (仍然 假定 A 有 无 限 的 计算 能 力 ) 
logs, (h)= zi + we 《9-9) 
如 果 B 仅 解 密 有 效 密 文 (wf ,seo), 则 由 于 (xd)a (xu 二 一 gs gg 二 h"',A 通过 
(wi ,wse sv ) 得 到 的 方程 rlogs, (及 ) 二 rzi 十 rtwzs 仍 是 式 (9-9)。 因 此 没有 得 到 关于 
(xz1,zxz) 的 更 多 信息 。 
在 B 输 出 的 挑战 密 文 (w ,wuss,e,v) 中 ,有 ec 二 YMs, 其 中 y=wuiiwuz# ,由 此 建立 的 方程 为 
logs, (7)= ~(z 十 zozz) (9-10) 
显然 式 (9-9) 和 式 (9-10) 是 线性 无 关 的 ,对 A 来 说 y 是 均匀 分 布 的 。 换 句 话 讲 ,e 一 
YMs 是 用 y 对 Me 所 做 的 一 次 一 密 ,A 猜测 8 是 完全 随机 的 。 
(断言 9-6" 证 毕 )( 断 言 9-6 证 毕 ) 
设 事件 D 和 R 分 别 表示 事件 (gi, gs, ww wu)ERBn 和 (gi1, gz2, ti, ww)€ Ron。 
由 A 的 优势 及 断言 9-5、 断 言 9-6, 得 | Pr[8 ==B| D] 玫 | =， Pr[p 一 B|R] 一 贞 = 


negl(k)。 其 中 negl(R) 是 可 忽略 的 。 所 以 
Pr[p = B]= Pr[D]Pr[p = BID]+Pr[R]Pr[B = BIR] 


(3 te) (3 tnegl(x) = 六 十 二 ce) 十 Snegl(«) 




















AdviXY (k) 








1 
Pr[P 一 有 2 | 3 |e(c) 士 negl(c) | 一 到 (6) 


得 B 的 优势 为 AdvB" (x) 之 去 ((«)。 (定理 9-10 证 毕 ) 
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951 RSA 签 名 方案 


签名 方案 的 基本 概念 见 7. 1 节 , 其 语义 安全 性 见 定义 9-9。 
定义 9-9 ”一 个 签名 方案 (SigGen,Sig,Ver) 称 为 在 适应 性 选择 消息 攻击 下 具有 存在 性 
不 可 伪造 性 (Existential Unforgeability Against Adaptive Chosen Messages Attacks， 
EUF-CMA) ,简称 为 EUF-CMA 安全 ,如 果 对 任何 多 项 式 有 界 时 间 的 敌手 A 在 以 下 试验 
中 的 优势 是 可 忽略 的 : 
ExpSe'a (k): 
(vk,sk)<—SigGen(xr); 
(M0) ASex) (vk); 
设 Q 表示 A 访问 签名 论 言 机 Siga(* ) 的 消息 集合 ; 
如 果 Vers(M,o) 二 True 且 MEQ, 返 回 1; 否 则 返回 0. 
其 中 A 可 多 项 式 有 界 次 访问 签名 论 言 机 Sigs(*) 。 
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A 的 优势 定义 为 : Adv&% (rk) 王 |Pr[Expgm (x)=1] | 
RSA 作为 加 密 算法 见 4. 3 节 ,RSA 用 于 签名 算法 见 7. 1.2 节 , 它 的 形式 化 描述 如 下 。 
密 钥 产 生 过 程 : 
GenRSA (<c) : 

旋 ,q<GenPrime(Cc); 

n=pgq,p(n)=(p—1)(g—1); 

选 e, 满 足 l=<e<gyg(n)H gcd(g(n),e)=1; 

计算 d ,满足 d，e 二 1] mod g(n) 

pk=(n,e) ,sk= (n,d). 
签名 : 

Sigs (MD ; 
o=M’ mod n. 
验证 ， 
Verve (M0): 
如 果 玉 一 M mod n 返回 True; 和 否则 返回 False. 
但 RSA 签名 体制 不 是 EUF-CMA 安全 的 , 它 的 EUF 游戏 如 下 : 
(1) 初始 阶段 。 挑 战 者 产生 系统 的 密 钥 对 pk 一 (e,z) ,sk 二 (4d,n) ,将 pk 发 送 给 敌手 
人 A 但 保密 sk。 
(2) 阶段 1( 签 名 询问 ) 。A 执行 以 下 的 多 项 式 g= 二 q(x) 有 界 次 适应 性 询问 。 
A 提交 M, ,其 中 某 个 M, 二 rr。M, 挑 战 者 计算 s; 三 Mi mod n (i 二 1,…,q) 并 返回 
给 A。 


(3) 输出 。 A 输出 (M,o) 一 C(M, 关 ) ,因为 $=(rM)" mod n=rM’ mod 所 以 二 
Me mod n, 即 为 M 的 签名 。M 不 出 现在 阶段 1 且 Verw(CM,c) 一 True。 
952 RSAFDH 签 名 方案 的 描述 


RSA 签名 方案 中 使 用 模 指 数 运算 ,如 果 哈 希 函 数 的 输出 比特 长 度 和 模 数 的 比特 长 度 
相等 , 则 称 该 哈 希 函数 为 全 域 哈 希 函数 (Full Domain Hash,FDH)。 使 用 全 域 哈 希 函数 
的 RSA 签名 方案 ,简称 为 RSA-FDH 签名 方案 ,在 适应 性 选择 消息 攻击 下 具有 存在 性 不 
可 伪造 性 , 即 为 EUF-CMA 安全 的 。 


方案 ( 记 为 中 如 下 : 
设 GenRSA 如 前 ,函数 玉 :{0,1)" 一 {0,1)*,k 为 安全 参数 。 
密 钥 产生 过 程 ， 
SignGen(«): 
(nerd)<GenRSA(xr); 
pk 一 (mve); 
sk= (n.d). 


签名 过 程 (其 中 ME {0,1}*): 
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Sigs (MD : 
h=H(M); 
输入 ao 一 12 mod nn. 
验证 过 程 : 
Vers (Mo): 
h=H(M; 


如 果 g = 二 h mod n 返回 True; 和 否则 返回 False. 
定理 9-11 设 瑟 是 一 个 随机 论 言 机 ,如 果 与 GenRSA 相关 的 RSA 问题 是 困难 的 
( 见 9.2.1 节 ), 则 RSA-FDH 方案 是 EUF-CMA 安全 的 。 
具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 A 以 el(w) 的 优势 攻破 RSA-FDH 方案 ,A 
最 多 进行 gn 次 H 询问 ,那么 一 定 存在 一 个 敌手 B 至 少 以 


AdvBs (4)><O 
€qn 


的 优势 解决 RSA 问题 ,其 中 e 是 自然 对 数 的 底 。 

证 明 并 的 EUF 游戏 如 下 : 

(1) 挑战 者 运行 GenRSA(xr) 得 到 (n,e,d) ,选取 一 个 随机 函数 及。 敌手 A 得 到 公开 
钥 (n,e)。 

(2) 敌手 A 可 以 向 挑战 者 询问 互 (，) 和 对 消息 的 签名 , 当 A 请 求 消息 M 的 签名 时 ， 
挑战 者 向 A 返回 so 三 H (MD)* mod n。 

(3) A 输出 一 个 对 CM,o) ,其 中 A 之 前 没有 请 求 过 消息 M 的 签名 。 如 果 a 三 HCM) 
mod 2, 则 敌手 攻击 成 功 。 

下 面 证 明 RSA-FDH 方案 可 归 约 到 RSA 问题 。 

敌手 B 已 知 (n,e,y* ), 其 中 y* 是 Z; 上 均匀 随机 的 。 以 A( 攻 击 RSA-FDH 方案 ) 作 
为 子 程序 ,目标 是 计算 (y* )* mod n。 

分 析 : B 若 能 得 到 某 个 ,使 得 二 y” mod nn. 则 o 三 (y*)* mod wm。 由 wy modn 
知 , 若 y 是 某 个 消息 M 的 哈 希 函数 值 , 则 c 为 这 个 消息 的 签名 。(M,c) 由 敌手 A 产生 ， 
但 HCMD 由 BB 产生,B 可 设 H(M) 二 y*。B 在 将 y* 取 为 某 个 消息 的 哈 希 值 时 ,并 不 知道 
A 对 哪个 消息 产生 伪造 的 签名 ,所 以 B 要 做 猜测 (A 的 第 7 次 互 询问 对 应 着 A 最 终 的 伪 
造 结果 ) 。 

为 了 简化 , 且 不 失 一 般 性 ,假设 : 

(1) A 不 会 对 电 (MD) 发 起 两 次 相同 的 询问 ; 

(2) 如 果 A 请 求 消息 M 的 一 个 签名 , 则 它 之 前 已 经 询问 过 HMD; 

(3) 如 果 A 输出 (M,c) , 则 它 之 前 已 经 询问 过 HMD)。 

归 约 过 程 如 下 : 

(1) B 将 公开 钥 (n,e) 给 A 且 随 机 选择 j<-k{1,… ,qn}。j 是 B 的 一 个 猜测 值 : A 的 
第 j 次 也 询问 对 应 着 A 最 终 的 伪造 结果 。 

(2) H 询 问 ( 最 多 进行 qn 次 )。B 建立 一 个 HY, 初 始 为 空 ,元 素 类 型 为 三 元 组 
(Mi ,oi,yi) ,表示 也 已 经 设置 互 OM;) 一 yos=y mod n。 当 A 发 起 第 i 次 询问 ( 设 询问 
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值 为 M;) 时 ,B 回答 如 下 : 

。 如 果 ;一 六 返回 y 。 

。 否则 ,选取 一 个 随机 值 cc 一 AZ ,计算 y; 寺 of mod n, 以 y; 作为 对 该 询问 的 应 答 ,并 

在 表 中 存储 (Mi ,6; ,y; )。 

(3) 签名 询问 (最 多 进行 gn 次 )。 当 A 请 求 消息 M 的 一 个 签名 时 , 设 i 满 足 M=M.;， 
Mi 表示 第 i 次 有 H 询问 的 询问 值 。B 如 下 回答 该 询问 : 

。 如 果 i 埃 j, 则 H* 中 有 一 个 三 元 组 (M;,o;,y;) ,返回 0;。 

”如 果 ;一 六 则 中 断 。 

(4) 输出 。A 输出 CM,o)。 如 果 M 天 Mi ,B 中断; 否则 如 果 M=Mi 且 o“ 圭 y* modn， 
则 B 输 出 o。 

断言 9-7 在 以 上 过 程 中 ,如 果 B 不 中 断 , 则 B 的 模拟 是 完备 的 。 

证 明 ” 当 B 猜测 正确 时 ,A 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 
的 。 这 是 因为 

(1) A 的 qn 次 昌 询问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 : 

。 对 Mi 的 询问 是 用 y* 来 应 答 的 ,其 中 y* 是 Z; 中 均匀 分 布 的 。 

。 对 M; (i 去 /的 询问 是 用 y; 三 of mod n 来 应 答 的 ,其 中 是 从 Z; 中 均匀 随机 选取 

的 ,yi 在 Z; 中 也 是 均匀 分 布 的 。 

在 真实 攻击 中 ,H 被 视 为 随机 论 言 机 。 所 以 A 的 互 询 问 的 应 答 和 真实 攻击 中 的 应 
答 是 同 分 布 的 。 

(2) A 对 M;(i 么 门 的 签名 询问 得 到 的 应 答 c; 满足 of mod n 三 y; 三 H (Mi) mod ,是 
有 效 的 。 

所 以 A 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 , 即 B 的 模拟 是 完 
备 的 。 (断言 9-7 证 毕 ) 

车 B 的 猜测 是 正确 的 , 且 A 输出 一 个 伪造 , 则 B 就 解决 了 给 定 的 RSA 实例 ,这 是 因 
为 of 三 y”mod zc 即 为 (y* ) mod n。 

B 的 成 功 由 以 下 3 个 事件 决定 。 

EE1: B 在 A 的 签名 询问 中 不 中 断 ; 

Es: A 产生 一 个 有 效 的 消息 -签名 对 (Mo); 

EE: Es 发 生 且 M 对 应 的 三 元 组 (Miwo;y;) 中 下 标 i 二 j。 


Pr[E,]= (ee io ,Pr[E, |E]=e(x) ,而 Pr[E |E,E,]—Pr[i=j|E,E,]=— 


所 以 B 的 优势 为 Pr[LE, Es] 二 Pr[E]Pr[E, | E,]Pr[LE, |E,E,] es (e) 





we) 
(定理 9-11 证 毕 ) 
953 RSAFDH 签 名 方案 的 改进 


对 方案 的 改进 考虑 的 是 归 约 的 效率 ,定理 9-12 给 出 了 一 种 更 紧 的 归 约 。 
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TEST 
定理 9-12 设 互 是 一 个 随机 论 言 机 ,如 果 与 GenRSA 相关 的 RSA 问题 是 困难 的 ， 
则 RSA-FDH 方案 是 EUF-CMA 安全 的 。 


具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 A 以 e(e) 的 优势 攻破 RSA-FDH 方案 ,A 
最 多 进行 gn 次 H 询问 、g, 次 签名 询问 ,那么 一 定 存 在 一 个 敌手 B, 至 少 以 


AdvBs* Ck) > 
eq 
的 优势 解决 RSA 问题 。 
证 明 归 约 过 程 修改 如 下 : 
(1) B 将 公开 钥 (n,e) 给 A 
(2) 询问 (最 多 进行 gn 次 )。B 建立 一 个 HW, 初始 为 空 ,元 素 类 型 为 四 元 组 
(Mi ,oi ,yisci) ,表示 也 已 经 设置 万 OM) 一 wo=w mod n。 当 A 发 起 一 次 询问 ( 设 询问 
值 为 MD 时 ,B 回答 如 下 : 
Q@ 如 果 五 后 中 已 有 与 M 对 应 的 项 (Mi,oi ,yivci); 则 以 y; 应 
@ 否则 ,B 随机 选择 一 个 c;<-k{0,1} 并 设 Pr[c; 一 0] 一 ooh a, 
。 如 果 ci 二 0, 返 回 y*。 
。 否则 ,选取 一 个 随机 值 c;< 一 kZ; ,计算 y; 三 of mod n, 以 y; 作为 对 该 询问 的 
在 表 中 存储 (Mi ,oi ,yisci) 
(3) 签名 询问 (最 多 进行 g, 次 )。 当 A 请 求 消息 M 的 一 
(Miyoisyisci) ,使 得 MM; 二 M， 
。 如 果 c; 取 0, 则 返回 6;。 
。 如 果 ci; 二 0, 则 中 断 。 
(4) 输出 。A 输出 (M,o)。B 在 HE 中 查找 M 对 应 的 四 元 组 (M,o,y,c), 如 果 c 关 0， 
B 中 断 ;否则 B 输 出 o。 


答 。 


应 答 ,并 


个 签名 时 ,B 在 H™ 查 找 项 


在 上 述 归 约 过 程 中 ,c; 就 是 B 的 猜测 : c;= 王 0 对 应 的 四 元 组 中 的 M 是 A 最 终 要 伪造 


名 的 消息 ,ci 在 四 元 组 (Mi ,oi ,yiwci ) 中 的 作用 就 是 一 个 标识 符 
B 的 成 功 由 以 下 3 个 事件 决定 。 


Ei: B 在 A 的 签名 询问 中 不 中 断 ; 
Es: A 产生 一 个 有 效 的 消息 -签名 对 (Mo); 
EE;: E, 发 生 且 M 对 应 的 四 元 组 (M,c,y:'c) 中 一 


Pr[EJ]= (1—6)% ,PrLE。 | E] 一 c(e) ,而 PrLEs | E,E] 一 Pr[c 一 0|E,Eo] 一 8。 所 以 
B 成 功 的 概率 为 PrLE,E,] 王 Pr[E,]Pr[E, | 已 ]PrLE, |EiE:]== (1 一 6)“@。 将 (1 一 6)“@ 








看 作 的 函数 ,可 求 出 5 一 计时，(1 一 8)* 达到 最 大 ,最 大 值 为 ET 。 
(定理 9 1 证 时 ) 
通常 ggn， 所 以 < >> ek) 


。 定 理 9-12 的 归 约 要 比 定理 9-11 的 归 约 紧 。 
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one BLS 短 签名 方案 





RSA 和 DSA 是 最 常用 的 两 个 签名 方案 ,但 二 者 的 签名 长 度 过 大 。 例 如 当 使 用 一 个 
1024 比特 长 的 模 数 时 ,RSA 的 签名 长 度 为 1024 比特 ,DSA 的 签名 长 度 为 320 比特 ,DSA 
在 椭圆 曲线 上 的 实现 其 签名 长 度 也 是 320 比特 ,320 比特 的 签名 对 于 人 工 输入 来 说 太 长 
了 。 本 节 介 绍 的 BLS 短 签 名 方案 的 签名 长 度 大 约 是 170 比特 ,但 它 的 安全 性 与 DSA 320 
比特 长 签名 的 安全 性 是 相同 的 。 


961 BLS 短 签名 方案 所 基于 的 安全 性 假设 


BLS 短 签名 方案 的 安全 性 基于 循环 乘法 群 上 的 CDH 问题 的 困难 性 假设 。 

设 G 二 (g) 是 阶 为 素数 g 的 循环 群 ,g 是 G 的 生成 元 。 

G 上 双 线 性 映射 :的 双 线 性 为 : 对 于 a,bE Zo ,有 el(g",g’) 二 el(g,g)"。 

DDH 问题 的 另 一 种 描述 : 已 知 四 元 组 了 D= (gi,gzvyiavwz)EG', 其 中 避 、gz 为 G 的 
生成 元 ,wi 二 gi ,ws 二 g(a,;BEZ,) ,判断 是 否 a 二 B。 

如 果 a 一 8, 则 称 四 元 组 D== (gi,gz wivus ) 为 DH 四 元 组 。 

利用 G 上 的 双 线 性 映射 可 容易 地 解决 DDH 问题 : 已 知 D= (gi,gz wi,us)€ 
G+4, 则 

a=BOe( gisu )=e(g2 su) 

CDH 问题 : 已 知 D=(g,g*',h)EG ,计算 请。 

如 果 G 上 的 DDH 问题 是 容易 的 ,但 CDH 问题 是 困难 的 ,G 就 称 为 间隙 群 。 

注 : 仅 当 G 是 超 奇异 椭圆 曲线 上 的 点 群 时 ,e 才 可 构造 ,从 而 使 得 G 上 的 DDH 问题 变 
得 容易 ;否则 ,G 上 的 DDH 问题 仍 是 困难 的 , 见 9. 1.1 节 。 


962 BLS 短 签名 方案 描述 


设 G 是 间 际 群 ,及 :{0,1)" 一 G 是 全 域 哈 希 函数 。 
密 钥 产生 过 程 : 
SignGen («kr): 
Ep Zu 
y 一 后 EG; 
sk 一 ,pk 一 y。 
签名 过 程 (其 中 ME {0,1}"): 

Sigs (MD : 
h=H(M); 
输出 oh EG. 

验证 过 程 : 
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Vervk (M,o): 
h=H(M); 
如 果 (g,h,y,o) 为 DH 四 元 组 ,返回 True; 和 否则 返回 False. 
定理 9-13 设 互 是 一 个 随机 论 言 机 ,如 果 G 是 一 个 间隙 群 , 则 BLS 短 签名 方案 Sig 
是 EUF-CMA 安全 的 。 
具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 A 以 ce) 的 优势 攻破 短 签名 方案 ,A 最 多 
进行 gn 次 有 询问 ,那么 一 定 存在 一 个 敌手 B 至 少 以 
Advg" (x) > 
eg 
的 优势 解决 CDH 问题 。 

证 明 Sig 的 EUF 游戏 与 RSA-FDH 的 EUF 游戏 类 似 。 

下 面 证 明 BLS 短 签名 方案 可 归 约 到 群 G 上 的 CDH 问题 。 

敌手 B 已 知 (g,x 一 gj) ,以 A( 攻 击 BLS 短 签名 方案 ) 作 为 子 程序 ,目标 是 计算 1。 

与 RSA-FDH 相同 ,假设 : 

(1) A 不 会 对 随机 论 言 机 发 起 两 次 相同 的 询问 ， 

(2) 如 果 A 请 求 消息 M 的 一 个 签名 , 则 它 之 前 已 经 询问 过 HMD; 

(3) 如 果 A 输出 C(M,c) , 则 它 之 前 已 经 询问 过 HM)。 

分 析 : B 将 wx=g" 看 作 自 己 的 公开 钥 ,a 为 秘密 钥 (B 其 实 不知 c), 则 hr 为 B 对 某 一 
消息 的 签名 , 即 o 二 有 H(M) 二 所, 其 中 (Ma) 由 A 伪造 产生 。B 可 将 h 作为 某 一 消息 M; 
的 喻 希 函 数值 ,但 B 并 不 知道 A 对 哪个 消息 伪造 签名 ,所 以 要 猜测 。 

实际 证 明 时 ,B 希望 将 问题 实例 (g,u==g*,h) 隐 藏 起 来 ,所 以 先 选 一 个 随机 数 x, 以 
u。* 8" 作为 公开 钥 发 送 给 A。 

归 约 过 程 如 下 : 

(1) B 将 群 G 的 生成 元 g 和 公开 钥 w。grEG 发 送 给 A, 其 中 rpRZou，。g" 一 gf 对 
应 的 秘密 钥 是 a 十 r+。 此 外 随机 选择 j<-k {1,… ,gn} 作 为 它 的 一 个 猜测 值 : A 的 这 次 五 
询问 对 应 着 A 最 终 的 伪造 结果 。 

(2) 五 询问 (最 多 进行 gn 次 )。B 建立 一 个 HW ,初始 为 空 ,元 素 类 型 为 三 元 组 
(Mi,yisbi)。 当 A 发 起 第 i 次 询问 ( 设 询问 值 为 Mi;) 时 .B 回答 如 下 : 

@ 如 果 中 中 已 有 Mi 对 应 的 项 (Mi 2) , 则 以 ww 应答。 
@ 否则 ,B 随机 选择 一 个 六 < 一 RZ。， 
。 如 果 ;一 ), 则 计算 一 ng*EG 。 
。 否则 ,计算 y; 一 g*EG 。 
以 y; 作为 对 该 询问 的 应 答 ,并 在 表 中 存储 (Mi ,yi,b; )。 
(3) 签名 询问 (最 多 进行 gy 次 )。 当 A 请 求 消息 M 的 一 个 签名 时 , 设 ;满足 M 一 M;， 
M; 表示 第 i 次 H 询问 的 询问 值 。B 如 下 回答 该 询问 : 
。 如 果 i 取 j, 则 五 和 中 有 一 个 三 元 组 (Mi;,yi;,6;), 计 算 o= 二 (ug)* 并 以 o; 应 答 A。 
因为 6 二 (ug) 二 g%*“1? 二 yf1? ,所 以 6; 为 以 秘密 钥 a 十 r 对 Mi; 的 签名 。 
。 如 果 i 二 j, 则 中 断 。 
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(4) 输出 。A 输出 COM,o)。 如 果 M 关 M; ,B 中 断 ;否则 B 输 出 一 上 -作为 h"。 这 是 


因为 o Tp (hgs Di Nr hh (g” )s ge =hh'u’s gr" 要 

断言 9-8 在 以 上 过 程 中 ,如 果 了 不 中 断 , 则 B 的 模拟 是 完备 的 。 

证 明 ” 当 B 猜测 正确 时 ,A 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 
的 。 这 是 因为 

(1) A 的 gn 次 日 询问 中 的 每 一 个 都 是 用 随机 值 来 回答 的 ,对 Mi (i 二 1,… ,gn ) 的 应 
答 如 下 : 

。 当 i=j 时 是 用 y; 二 hg* EG 来 应 答 的 ,由 6b; 的 随机 性 , 知 y; 是 G 中 均匀 分 布 的 。 

。 当 i 关 j 时 是 用 yi; 二 g*€G 来 应 答 的 ,同样 w 也 是 G 中 均匀 分 布 的 。 

在 真实 攻击 中 ,H 被 视 为 随机 论 言 机 。 所 以 A 的 H 询问 的 应 答 和 真实 攻击 中 的 应 
答 是 同 分 布 的 。 

(2) A 对 Mi(i 夫 门 的 签名 询问 得 到 的 应 答 , 是 由 公开 钥 gw。g" = 一 8 (CA 已 获得 ) 所 
对 应 的 秘密 钥 ec 十 ”签名 的 ,所 以 A 得 到 的 签名 应 答 是 有 效 的 (相对 于 它 得 到 的 公开 钥 
而 言 ) 。 

所 以 A 在 上 述 归 约 中 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 , 即 B 的 模拟 是 完 
备 的 。 (断言 9-8 证 毕 ) 

若 B 的 猜测 是 正确 的 , 且 A 输出 一 个 伪造 , 则 B 就 在 第 (4) 步 解决 了 给 定 的 CDH 实 
例 。B 的 优势 与 定理 9-11 的 证 明 相 同 。 (定理 9-13 证 毕 ) 

963 ”BLS 短 签名 方案 的 改进 一 

对 方案 的 第 一 种 改进 考虑 的 是 归 约 的 效率 ,定理 9-14 给 出 了 一 种 更 紧 的 归 约 。 

定理 9-14 设 瓦 是 一 个 随机 论 言 机 ,如 果 G 是 一 个 间隙 群 , 则 BLS 短 签名 方案 Sig 
是 EUF-CMA 安全 的 。 

具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 A 以 (x) 的 优势 攻破 短 签名 方案 ,A 最 多 
进行 gn 次 H 询问 、g; 次 签名 询问 ,那么 一 定 存 在 一 个 敌手 B 至 少 以 


Adve™ 全 三 < 
e9: 








的 优势 解决 CDH 问题 。 
证 明 改进 方法 与 定理 9-12 类 似 。 


964 BLS 短 签名 方案 的 改进 二 


为 了 获得 短 签名 ,需要 使 用 第 二 类 双 线 性 映射 ( 见 4. 1. 12 节 ) 
第 二 类 双 线 性 映射 形 如 : 2; G XG;: 一 Gr: 其 中 G、\G, 和 Gr 都 是 阶 为 9 的 群 ,Gs 到 
Gi 有 一 个 同 态 映 射 %:G: 一 Gi ,满足 Vsz) 一 5 :其 中 g 和 gs 分 别 是 G1 和 Gs 上 的 固定 生 
成 元 。G 中 的 元 素 可 用 较 短 的 形式 表达 。 因 此 在 构造 签名 方案 时 ,把 签名 取 为 G; 中 的 元 
素 , 可 得 短 的 签名 。 
其 上 的 DDH 问题 ( 称 为 协 DDH 问题 ,简称 为 co-DDH 问题 ) 如 下 : 已 知 g,, gi € 
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Gs ,hh ,WE G1, 判断 是 否 a 二 8B。 如 果 一 8, 则 称 四 元 组 (gs* ,gi ,je) 为 co-DDH 元 组 。 
利用 G1 XG: 双 线性 映射 可 容易 地 解决 co-DDH 问题 : 已 知 (g; ,gs ,hh8), 则 
a 一 BE(A .83) 一 2CMe ga) 
其 上 的 CDH 问题 ( 称 为 协 CDH 问题 ,简称 为 co-CDH 问题 ) 如 下 : 已 知 g; ,ss E G， 
及 hEG1, 计 算 hEG。 
如 果 Gi XG。 上 的 co-DDH 问题 是 容易 的 ,但 co-CDH 问题 是 困难 的 ,G1 X Gs 就 称 为 


间隙 群 组 。 
设 G, XG 是 间 际 群 组 ,及 ;: {0,1)* 一 G1 是 全 域 喻 希 函 数 。 改 进 后 的 方案 如 下 : 


密 钥 产生 过 程 : 


SigGen(kc) : 
Zp Les 
3 一 SEEGz; 
sk 一 Z,pk 一 y。 
签名 过 程 (其 中 ME{0,1}”): 

Sigs (MD) : 
h=H(M)EG!; 
输出 o==h*€E Gi. 

验证 过 程 : 
Verpy (Mo): 
h=H(M EG!; 


如 果 (gz ,ywh,o) 为 co-DH 四 元 组 ,返回 True; 和 否则 返回 False. 
因为 签字 是 G; 中 的 元 素 , 而 G;, 可 以 使 用 168 比特 长 的 椭圆 曲线 实现 ,因此 获得 了 
短 签名 。 
方案 的 安全 性 证 明 与 定理 9-12 定理 9-13 定理 9-14 类 似 。 


7 基于 身份 的 密码 体制 





97.1 基于 身份 的 密码 体制 定义 和 安全 模型 


1. 基于 身份 的 密码 体制 简介 

1984 年 , Shamir 提出 了 一 种 基于 身份 的 加 密 方案 (简称 IBE-Identity-Based 
Encryption) 的 思想 ,并 征询 具体 的 实现 方案 ,方案 中 不 使 用 任何 证 书 ,直接 将 用 户 的 身份 
作为 公 钥 ,以 此 来 简化 公 钥 基础 设施 (Public Key Infrastructure,PKI) 中 基于 证 书 的 密 钥 
管理 过 程 。 例 如 ,用 户 A 给 用 户 B 发 送 加 密 的 电子 邮件 ,B 的 邮件 地 址 是 bob @ 
company. com,A 只 要 将 bob@company. com 作为 B 的 公开 钥 来 加 密 邮 件 即 可 。 当 B 收 
到 加 密 的 邮件 后 ,向 服务 器 证 明 自 己 ,并 从 服务 器 获得 解密 用 的 秘密 密 钥 ,再 解密 就 可 以 
阅读 邮件 。 该 过 程 如 图 9-4 所 示 。 
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B 为 
向 B 
服 | | 产 
务 生 
器 秘 
证 | | 密 
明 | | 铀 
OD 有 be 电 
加 密 邮件 
发 送 者 A | 一 加密 的 邮件 | 接收 者 B 




















9-4 基于 身份 的 加 密 方案 示例 


与 基于 证 书 的 安全 电子 邮件 相 比 , 即 使 B 还 未 建立 他 的 公 钥 证 书 ,A 也 可 以 向 他 发 
送 加 密 的 邮件 。 因 此 这 种 方法 避免 了 公 钥 密码 体制 中 公 钥 证 书 从 生成 、 签 发. 存储、 维护 、 
更 新 .撤销 这 一 复杂 的 生命 周期 过 程 。 自 Shamir 提出 这 种 新 思想 以 后 ,由 于 没有 找到 有 
效 的 实现 工具 ,其 实现 一 直 是 一 个 公开 问题 。 直 到 2001 年 , Boneh 和 Franklin 获得 了 数 
学 上 的 突破 ,提出 了 第 一 个 实用 的 基于 身份 的 公 钥 加 密 方案 。 

一 个 IBE 方案 由 以 下 4 个 算法 组 成 

1) 初始 化 

为 随机 化 算法 ,输入 是 安全 参数 ,输出 为 系统 参数 params 和 主 密 钥 msk。 表 示 为 
(params, msk)<-Init(k), 

2) 加 密 

为 随机 化 算法 ,输入 是 消息 M、 系 统 参数 params 以 及 接收 方 的 身份 ID, 输 出 密 文 
CT, 仅 当 接 收 方 具 有 相同 身份 ID 时 ,才能 解密 。 表 示 为 CT= Ew (M)。 

3) 密 钥 产生 

为 随机 化 算法 ,输入 是 系统 参数 params、 接 收 方 的 身份 ID 以 及 主 密 钥 msk ,输出 会 
话 密 钥 sk。 表 示 为 sk<-IBEGen(ID) 。 

4) 解密 

为 确定 性 算法 ,输入 会 话 密 钥 sk 及 密 文 CT, 输 出 消息 M。 表 示 为 M= Ds (CT)。 

Boneh 和 Franklin 的 方案 使 用 椭圆 曲线 上 的 双 线 性 映射 ( 称 为 Weil 配对 和 Tate 配 
对 ) ,将 用 户 的 身份 映射 为 一 对 公开 钥 /秘密 钥 对 。 方 案 的 安全 性 证 明 使 用 随机 论 言 机 
模型 。 


2 选择 明文 安全 的 IEE 
要 定义 IBE 的 语义 安全 ,应 允许 敌手 根据 自己 的 选择 进行 秘密 钥 询 问 , 即 敌手 可 根 
据 自 己 的 选择 询问 公开 钥 ID 对 应 的 秘密 钥 ,以 此 来 加 强 标准 定义 。 
记 IBE 方案 为 区 ,下 的 IND 游戏 ( 称 为 IND-ID-CPA 游戏 ) 如 下 : 
(1) 初始 化 。 挑 战 者 输入 安全 参数 <, 产 生 公开 的 系统 参数 params 和 保密 的 主 密 钥 。 
261 


ml 现代 密码 学 (第 4 版 ) Eeessssa 


(2) 阶段 1( 训 练 )。 敌 手 发 出 对 ID 的 秘密 钥 产 生 询 问 。 挑 战 者 运行 秘密 钥 产 生 算 
法 ,产生 与 ID 对 应 的 秘密 钥 d, 并 把 它 发 送 给 敌手 ,这 一 过 程 可 重复 多 项 式 有 界 次 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相 等 的 明文 Mo。、M, 和 一 个 意欲 挑战 的 公开 钥 ID* 。 
唯一 的 限制 是 ID’ 不 在 阶段 1 中 的 任何 秘密 钥 询 问 中 出 现 。 挑 战 者 随机 选取 一 个 比特 值 
Bk{0,1} ,计算 C* = 二 Em* (Mp) ,并 将 C* 发 送 给 敌手 。 

(4) 阶段 2( 训 练 )。 敌 手 发 出 对 另外 ID 的 秘密 钥 产 生 询问 ,唯一 的 限制 是 ID 关 ID* ， 
挑战 者 以 阶段 1 中 的 方式 进行 回应 ,这 一 过 程 可 重复 多 项 式 有 界 次 。 

(5) 猜测 。 敌 手 输出 猜测 Bp E10,1) ,如 果 ==B, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 < 的 函数 : 


AdvhA™ (x)= |Pr[B =B]— 
IND-ID-CPA 游戏 的 形式 化 描述 如 下 : 


ExpRR Te Ce 


本 
2 


(params, msk)<—Init(r); 
(Mo ,Mi ,ID )<—A®eoen*) (params); 
Bp*—{0,1},C’ 一 En (My); 
PB AEGenzp" CIC hs 
如 果 二 B, 则 返回 1; 否 则 返回 0. 
其 中 IBEGen(") 表 示 敌 手 A 向 挑战 者 做 身份 的 秘密 钥 询 问 ,IBEGenz=m* (") 表 示 敌 手 A 
向 挑战 者 做 除 ID* 外 的 身份 的 秘密 钥 询 问 。 
敌手 的 优势 为 : 
1 


AdvBR Pe (x) = | Pr [ExpRR Pe (xk)=1] 一 却 


定义 9-10 如 果 对 任何 多 项 式 时 间 的 敌手 A, 存 在 一 个 可 忽略 的 函数 c(x) ,使 得 
AdvBRPCPA (ce) 近 cc) ,那么 就 称 这 个 加 密 算法 开 在 选择 明文 攻击 下 具有 不 可 区 分 性 ,或 
者 称 为 IND-ID-CPA 安全 的 。 


3. 选 择 密 文安 全 的 BE 方案 

在 IBE 体制 中 需 加 强 标准 CCA 安全 的 概念 ,因为 在 IBE 体制 中 ,敌手 攻击 公 钥 ID* 
( 即 获 取 与 之 对 应 的 秘密 钥 ) 时 ,他 可 能 已 有 所 选用 户 ID 的 秘密 钥 ( 多 项 式 有 界 个 ) ,因此 
选择 密 文安 全 的 定义 就 应 允许 敌手 获取 与 其 所 选 身份 (但 不 是 ID* ) 相 应 的 秘密 钥 ,我 们 
把 这 一 要 求 看 作 是 对 密 钥 产生 算法 的 询问 。 

一 个 IBE 加 密 方案 工 在 适应 性 选择 密 文 攻击 下 具有 不 可 区 分 性 ,如 果 不 存 在 多 项 式 
时 间 的 敌手 , 它 在 下 面 的 IND 游戏 ( 称 为 IND-ID-CCA 游戏 ) 中 有 不 可 忽略 的 优势 。 

(1) 初始 化 。 挑 战 者 输入 安全 参数 x, 产生 公开 的 系统 参数 params 和 保密 的 主 密 钥 。 

(2) 阶段 1( 训 练 )。 敌 手 执 行 以 下 询问 之 一 (多 项 式 有 界 次 ): 

。 对 ID 的 秘密 钥 产 生 询问 。 挑 战 者 运行 秘密 钥 产 生 算法 ,产生 与 ID 对 应 的 秘密 钥 

d, 并 把 它 发 送 给 敌手 。 
。 对 (ID,C) 的 解密 询问 。 挑 战 者 运行 秘密 钥 产 生 算法 ,产生 与 ID 对 应 的 秘密 钥 d， 
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再 运行 解密 算法 ,用 d 解密 C, 并 将 所 得 明文 发 送 给 敌手 。 

上 面 的 询问 可 以 自 适应 地 进行 ,是 指 执行 每 个 询问 时 可 以 依赖 于 以 前 询问 得 到 的 询 
问 结果 。 

(3) 挑战 。 敌 手 输出 两 个 长 度 相 等 的 明文 Mu 、M 和 一 个 意欲 挑战 的 公开 钥 ID” 。 
唯一 的 限制 是 ID* 不 在 阶段 1 中 的 任何 秘密 钥 询 问 中 出 现 。 挑 战 者 随机 选取 一 个 比特 值 
B<-R{0,1) ,计算 C* = 二 Em (Mp) ,并 将 C* 发 送 给 敌手 。 

(4) 阶段 2( 训 练 )。 敌 手 产 生 更 多 的 询问 ,每 个 询问 为 下 面 询 问 之 一 : 

。 对 ID 的 秘密 钥 产 生 询问 (ID 关 ID* )。 挑 战 者 以 阶段 1 中 的 方式 进行 回应 。 

。 对 (ID,C) 的 解密 询问 ((ID,C) 关 (ID* ,C* ))。 挑 战 者 以 阶段 1 中 的 方式 进行 

回应 。 

(5) 猜测 。 敌 手 输出 猜测 8 E {0,1) ,如 果 ==B, 则 敌手 攻击 成 功 。 

敌手 的 优势 定义 为 安全 参数 < 的 函数 : 


Advpfe* (x) 一 |Pr[B 一 8] 一 去 
IND-ID-CCA 游戏 的 形式 化 描述 如 下 : 


Expaa™ (ce): 
(params, msk)<—Init(kr); 
(Mo ,Mi .ID )<—AYEGen),D) (params); 
B*—{0,1},C’ 一 En (M,); 
PB <—ATEGenzp" CODyap® ec) CC" )s 
如 果 记 =B, 则 返回 1; 否则 返回 0. 
其 中 IBEGen(*) 表 示 敌 手 向 挑战 者 做 身份 的 秘密 钥 询 问 ,D(*) 表 示 敌 手 向 挑战 者 做 解密 
询问 : 挑战 者 先 运行 秘密 钥 产 生 算法 IBEGen(.) ,再 运行 解密 算法 ,用 IBEGen(*) 产 生 的 
秘密 钥 对 询问 的 密 文 解密 。IBEGenzmwm*(* ) 表 示 敌 手 向 挑战 者 做 除 ID 以 外 的 身份 的 秘 
密 钥 询问 ,Dzap* ,c*，(，) 表 示 敌 手 向 挑战 者 做 除 (ID*,C* ) 以 外 的 解密 询问 。 询 问 可 以 
自 适应 地 进行 ,是 指 执行 每 个 询问 时 可 以 依赖 于 执行 前 面 询 问 时 得 到 的 询问 结果 。 
敌手 的 优势 定义 为 安全 参数 « 的 函数 : 
AdwBR me (e) = | Pr[ExpRR me (x) =1] 一 去 
定义 9-11 如 果 对 任何 多 项 式 时 间 的 敌手 A, 存 在 一 个 可 忽略 的 函数 ce(x) ,使 得 


Adv 有 CA (k) 过 elw) ,那么 就 称 这 个 加 密 算法 工 在 选择 密 文 攻击 下 具有 不 可 区 分 性 ,或 
者 称 为 IND-ID-CCA 安全 的 。 


972 随机 论 言 机 模型 下 的 基于 身份 的 密码 体制 


1. BF 方案 所 基于 的 困难 问题 

本 节 介 绍 Boneh 和 Franklin 提出 的 IBE, 简 称 为 BF 方案 。 

1) 椭圆 曲线 上 的 DDH 问题 

设 G1 是 一 个 阶 为 gq 的 群 (椭圆 曲线 上 的 点 群 ), G1 中 的 DDH (Decision Diffie- 
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Hellman) 问 题 是 指 已 知 P.aP、bP、cP, 判 定 c 圭 ab mod g 是 否 成 立 , 其 中 己 是 Gy 中 的 随 
机 元 素 ,a,b,c 是 Zi 中 的 随机 数 。 

由 双 线 性 映射 的 性 质 可 知 : 

cab mod gSe(P,cP)=e(aP,bP) 

因此 可 将 判定 c 寺 ab mod g 是 否 成 立 转变 为 判定 6(P,cP) 二 2(aP,6bP) 是 否 成 立 , 所 以 G1 
中 的 DDH 问题 是 简单 的 。 

2) 椭圆 曲线 上 的 CDH 问题 

Gi( 仍 是 椭圆 曲线 上 的 点 群 ) 中 的 计算 性 Diffie- Hellman 问题 ,简称 CDH(Computational 
Diffie-Hellman) 问 题 是 指 已 知 P.aP、bP, 求 abP, 其 中 PP 是 Gr 中 的 随机 元 素 ,a、b 是 Z% 
中 的 随机 数 。 

与 G1 中 的 DDH 问题 不 同 ,Gi 中 的 CDH 问题 不 因 引 入 双 线 性 映射 而 解决 ,因此 它 仍 
是 困难 问题 。 

3) BDH 问题 和 BDH 假设 

由 于 Gi 中 的 DDH 问题 简单 ,那么 就 不 能 用 它 来 构造 G, 中 的 密码 体制 。BF 方案 的 
安全 性 是 基于 CDH 问题 的 一 种 变形 , 称 为 计算 性 双 线 性 DH 假设 。 

计算 性 双 线 性 DH 问题 ,简称 为 BDH (Bilinear Diffie-Hellman) 问 题 ,是 指 给 定 (P、 
aP bPvcP)(a,b,c) EZi), 计 算 w=e(P,P)*E€G,, 其 中 i 是 一 个 双 线 性 映射 ,P 是 G1 的 
生成 元 ,G1、G: 是 阶 为 素数 g 的 两 个 群 。 设 算法 A 用 来 解决 BDH 问题 ,其 优势 定义 为 r， 
如 果 

Pr|A(P\aP .bP\cP)=é2(P,P)" |>r 

目前 还 没有 有 效 的 算法 解决 BDH 问题 ,因此 可 假设 BDH 问题 是 一 个 困难 问题 ,这 

就 是 BDH 假设 。 


2 BF 方案 描述 
下 面 用 Z, 表 示 在 mod g 加 法 下 的 群 (10,…,g 一 1}。 对 于 阶 为 素数 的 群 G ,用 G "表示 
集合 G 一 {0} ,这 里 O 为 G 中 的 单位 元 素 。 用 Z+ 表示 正 整 数 集 。 
下 面 描述 的 BF 方案 是 基本 方案 , 称 为 BasicIdent。 
令 k 是 安全 参数 ,G 是 BDH 参数 生成 算法 ,其 输出 包括 素数 g, 两 个 阶 为 g 的 群 G,、 
Ga ,一 个 双 线 性 映射 i; G1 X G1 一 Gs 的 描述 。k 用 来 确定 g 的 大 小 ,例如 可 以 取 g 为 « 比 
1) 初始 化 
Init(Ck) : 
(gq,G1,G2,6) GG; 
Prk Gil; 
sgZs ,了 一 :PP 
选 万 :{(0,1 六 一 G; ,五 :: G: 一 (0,1)"; 
params 一 (q,Gi ,Ga ,em ,也 ,Pu ,万 ,万 :) ,msk 一 5. 
其 中 己 是 G; 的 一 个 生成 元 ,* 作为 主 密 钥 ,Hi 、H; 蚌 两 个 哈 希 函数 ,n 是 待 加 密 的 消息 的 
264 


ma 第 9 章 可 证 明 安 全 mm 


长 度 。 消 息 空间 为 {0,1)" , 密 文 空间 为 C=G? X10,1)" ,系统 参数 params 一 (q,G ,Gs ,6， 
n，P,Ppws，Hi，,H;) 是 公开 的 , 主 密 钥 s 是 保密 的 。 
2) 加 密 ( 用 接收 方 的 身份 ID 作为 公开 钥 , 其 中 ME {0,1)") 
Ep (M): 
Qp= Hi(ID) EG?; 
Dk 
CT=(rP, MOH, (gn)). 
其 中 gw 一 E(Qw ,Pu)EG;, 四 是 异 或 运算 。 
3) 密 钥 产生 (其 中 IDE {0,1}*) 
IBEGen(s.ID): 
Qp= Hi(ID)E G?; 
dp=sQp. 
4) 解密 (其 中 CT=(U,V)EO 
Do (CT): 
返回 V@@H,(e(dw,U)). 
这 是 因为 
é(dpU)=é(sQp,rP)=é2(Qp,P)”=é(Qp, Pr) = gh. 


3. BF 方案 的 安全 性 

定理 9-15 在 Basicldent 中 , 设 哈 希 函数 也 .Hs 是 随机 论 言 机 ,如 果 BDH 问题 在 g 
生成 的 群 上 是 困难 的 ,那么 Basicldent 是 IND-ID-CPA 安全 的 。 

具体 来 说 ,假设 存在 一 个 IND-ID-CPA 敌手 A 以 ce) 的 优势 攻破 Basicldent 方案 ,A 
最 多 进行 gs0 次 密 钥 提取 询问 .gm >0 次 H; 询问 ,那么 一 定 存 在 一 个 敌手 B 至 少 以 

2e(k) 
e(l+ge)gn, 


的 优势 解决 g 生成 的 群 中 的 BDH 问题 ,其 中 e 是 自然 对 数 的 底 。 
定理 9-15 是 将 BasicIdent 归 约 到 BDH 问题 ,为 了 证 明 这 个 归 约 , 先 将 BasicIdent 归 
约 到 一 个 非 基于 身份 的 加 密 方案 BasicPub, 再 将 BasicPub 归 约 到 BDH 问题 , 归 约 的 传 
递 性 是 显然 的 。 
BasicPub 加 密 方案 定义 如 下 : 
1) 密 钥 产生 
这 一 步 将 初始 化 和 密 钥 产生 两 步 合 在 一 起 。 
IBEGenCk) : 
(gq,G1,G2 ,6) gg; 
| Gil; 
SRZ Pu 一 5P5 
Qnp< Gi,dp=sQp; 
选 H;:Gs 一 {0,1}"; 


Advam (x) > 
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params=(g,Gi1,G:,é,n,P,P,w, Hi,H,),msk=s. 
其 中 己 是 G; 的 一 个 生成 元 ,s 作为 主 密 钥 ,dw 作为 秘密 钥 , 态 ; 是 哈 希 函数 ,n 是 待 加 密 的 
消息 的 长 度 。 系 统 参 数 params 一 (g,Gi.Gs,2,n,P,Ppw ,Qo,H,) 是 公开 的 , 主 密 钥 ;是 
保密 的 。 
2) 加 密 ( 用 接收 方 的 身份 ID 作为 公开 钥 , 其 中 ME {0,1)”) 
Ew(M): 
ep 
CT=(rP, MOH,(g®)). 
其 中 gw 二 2(Qwp ,Ppww) EG2 ,四 是 异 或 运算 。 
3) 解密 (其 中 CT= (U,V)E€E0 
Da CT): 
返回 VOH,(e(dw,U)). 
在 BasicIdent 中 ,Qiw 是 根据 用 户 的 身份 产生 的 。 而 在 BasicPub 中 Qw 是 随机 选取 的 
一 个 固定 值 ,因此 它 与 用 户 的 身份 无 关 。 
首先 证 明 BasicIdent 到 BasicPub 的 归 约 。 
引 理 9-7 设 Hi 是 从 {0,1)* 到 G? 的 随机 论 言 机 ,A 是 IND-ID-CPA 游戏 中 以 优势 
clk) 攻击 BasicIdent 的 敌手 。 假 设 A 最 多 进行 ve 二 0 次 密 钥 提 取 询 问 ,那么 存在 一 个 


IND-CPA 敌手 了 B 以 最 少 一 :ce) 的 优势 成 功 攻击 BasicPub。 
下 


证 明 挑战 者 先 建立 BasicPub 方案 ,敌手 B 攻击 BasicPub 方案 时 ,以 A 为 子 程序 ， 
过 程 如 图 9-7 所 示 ,其 中 方案 1 为 BasicIdent ,方案 2 为 BasicPub。 

具体 过 程 如 下 : 

(1) 初始 化 。 挑 战 者 运行 BasicPub 中 的 密 钥 产生 算法 生成 公开 钥 Kpw 二 (g,G1,G;， 
eZ,n,P,Ppw ,Qn ,HH;) ,保留 秘密 钥 dw 二 sQmwm。B 获得 公开 钥 。 

下 面 (2) 一 (6) 步 ,B 模 拟 A 的 挑战 者 和 A 进行 IND 游戏 。 

(2) B 的 初始 化 。 

B 发 送 BasicIdent 的 公开 钥 Kp 二 (gq,Gi,Gs ,2,n,P,Ppw ,Hi,H;), 给 A。 

因 BasicPub 中 的 公开 钥 无 Hi .所 以 B 为 了 承担 A 的 挑战 者 ,需要 构造 一 个 Hi 列表 
及 中, 它 的 元 素 类 型 是 四 元 组 (ID;,Q; ,bi ,coin) 。 

(3) Hi 询问 。 设 A 询问 ID; 的 Hi 值 .B 应 答 如 下 : 

@ 如 果 ID; 已 经 在 五 呈 中 ,B 以 QiEGr 作为 Hi 的 值 应 答 A。 

@ 否则 ,B 随机 选择 一 个 coin<-k (0,1) 并 设 Pr[coin 王 0]=6(6 的 值 待定 )。B 再 选 
择 随机 数 5.<kZ2 ， 

。 如 果 coin 二 0, 计 算 Q; 一 b.QDE GE 

。 否则 ,计算 Qi 二 b:P EEGs 

B 将 (ID;,Q;,6i,coin) 加 入 HF, 并 以 Hi1(ID;) 二 Q; 回应 A。 

这 里 的 coin 作为 B 的 猜测 : coin 二 0 表示 A 将 对 这 次 询问 的 ID; 发 起 攻击 。 
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(4) 密 钥 提 取 询 问 - 阶 段 1( 最 多 进行 gs 次 )。 设 ID; 是 A 向 B 发 出 的 密 钥 提取 询问 ， 

@ 如 果 coin=0,B 报错 并 退出 (此 时 ,B 原 打算 利用 A 对 Basicldent 的 攻击 来 攻击 
BasicPub ,此 时 B 无 法 利用 A, 所 以 对 BasicPub 的 攻击 失败 ) 。 

@ 否则 B 从 Hi* 取出 (ID;,Q;,bi,coin), 求 d; 二 bPpw;， 并 将 d; 作为 ID; 对 应 的 
BasicIdent 的 秘密 钥 给 A。 

这 是 因为 d; 二 sQ; 二 s (bP)=bi(sP) 二 bP pw 。 

注意 : dpm 二 ;Qip 是 BasicPub 中 的 秘密 钥 ;d; 二 sQ; 二 0;Ppw 是 BasicIdent 中 的 秘密 钥 。 

(5) A 发 出 挑战 。 

设 A 的 挑战 是 ID .Mo。 、Mi,B 在 有 HY 查找 项 (ID;,Q;,bi,coin) ,使 得 ID; 二 ID*， 

@ 如 果 coin=1,B 报错 并 退出 。 

@ 否则 coin = 二 0,B 将 Mo、M 给 自己 的 挑战 者 ,挑战 者 随机 选 Bk {0,1), 以 
BasicPub 方案 加 密 Ms 得 C* 二 (U,V)(BasicPub 密 文 ) 作 为 对 B 的 应 答 。B 则 以 C* = 
(OU ,V)(CBasicIldent 密 文 ) 作 为 对 A 的 应 答 。 这 是 因为 ID* 对 应 的 秘密 钥 d = 一 sxQ, 一 
sb;:QID 二 bisQw 王 bd， 即 BasicIdent 秘密 钥 d 是 BasicPub 秘密 钥 dw 的 5b; 售 ， 

eld" ,biU) = ebidw sb'U) = él(dw,U) 
挑战 过 程 如 图 9-5 所 示 。 


1'. Mo, M 1. Mo, MA, ID’ 
Cn ysl rerun 
CR 
图 9-5 ”BasicIdent 到 BasicPub 归 约 过 程 中 的 挑战 阶段 

(6) 密 钥 提取 询问 -阶段 2, 与 密 钥 提取 询问 -阶段 1 相同 。 

(7) 猜测 。A 输出 猜测 8,B 也 以 8 作为 自己 的 猜测 。 

断言 9-9 ”在 以 上 归 约 过 程 中 ,如 果 B 不 中 断 , 则 B 的 模拟 是 完备 的 。 

证 明 ”在 以 上 模拟 中 , 当 B 猜测 正确 时 .A 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 
布 的 。 这 是 因为 : 

A 的 有 Hi 询问 中 的 每 一 个 都 是 用 随机 值 来 应 答 的 。 

。 coin 二 0 时 是 用 Qi 一 AQ 来 应 答 的 ; 

。 对 coin=1 时 是 用 Q; 二 4b:P 来 应 答 的 。 

由 5; 的 随机 性 , 知 Qi 是 随机 均匀 的 。 而 在 A 对 BasicIdent 的 真实 攻击 中 ,A 得 到 的 
是 Hi 的 函数 值 ,由 于 假定 Hi 是 随机 论 言 机 ,所 以 A 得 到 的 Hi 的 函数 值 是 均匀 的 

@B 对 A 的 密 钥 提取 询问 的 应 答 di; 二 bPpw 等 于 sQ;, 因 而 是 有 效 的 。 

所 以 两 种 视图 不 可 区 分 。 (断言 9-9 证 毕 ) 

继续 引 理 9-7 的 证 明 : 由 断言 9-9 知 ,A 在 模拟 攻击 中 的 优势 Adv 姑 中 Ce) 一 


Pr[ExpRRm CeCe) 一 1 一动 与 真实 攻击 中 的 优势 Adv 骂 CPA(k) 相 等 ,至 少 为 。。 


若 B 的 猜测 是 正确 的 ,上 且 A 在 第 (7) 步 成 功 攻 击 了 BasicIdent 的 不 可 区 分 性 , 则 B 就 
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成 功 攻击 了 BasicPub 的 不 可 区 分 性 。 
因为 B 在 第 (4)(6) 步 不 中 断 的 概率 为 (1 一 6) ,在 第 (5) 步 不 中 断 的 概率 为 6, 因 此 B 
不 中 断 的 概率 为 (1 一 6)%6,B 的 优势 为 
(1—) .06° AdvBoDP erA(k)=(1—60)%r «O° ck) 
-和 一 AoE 。》。 ECK) 
类 似 于 定理 9-12,6 一 元 二 i 时 ,1 OE .6 “达到 最 大 ,最 大 值 为 Koe 二 1j。 


( 引 理 9-7 证 毕 ) 





下 面 证 明 BasicPub 到 BDH 问题 的 归 约 。 
引 理 9-8 设 H; 是 从 Gs 到 {0,1)" 的 随机 论 言 机 ,A 是 以 ek) 的 优势 攻击 BasicPub 


的 敌手 , 且 A 最 多 对 H; 询问 ons 0 次 ,那么 存在 一 个 敌手 B 能 以 至 少 光 如 的 优势 解决 


Hs 
SF 的 BDH 问题 。 
证 明 为 了 证 明 BasicPub 到 BDH 问题 的 归 约 , 即 B 已 知 (P,aP,bP,cP)=(P,P， 
P, ,P;), 想 通过 A 对 BasicPub 的 攻击 , 求 D=e(P,P)* EG,。B 在 以 下 思维 实验 中 作 
为 A 的 挑战 者 建立 BasicPub 方案 ,B 设法 要 把 BDH 问题 嵌入 到 BasicPub 方案 ,过 程 如 
图 9-6 所 示 。 图 中 的 步 数 和 下 面 证 明 中 的 步 数 不 对 应 。 





加 能 入 
BDH 问 题 







目标 @ 训 练 





@M, M, 










@@ 答 出 
BDH 问 题 





图 构 造 的 密 文 C” 


加 输出 fp 
图 9-6 ”BasicPub 到 BDH 问题 的 归 约 


(1) B 生成 BasicPub 的 公 钥 Kpw 二 (gq;Gi,Gzs ,En,P,Pow Qo;,HH:) ,其 中 Pw 二 Pi， 
Qp= 二 P,。 由 于 Pbw= 二 sP=Pi = 二 aP, 所 以 s=a,dw 二 sQw 二 aQp = 二 abP。H 的 建立 在 第 
(2) 步 。 

(2) Hi 询问 。B 建立 一 个 日 络 ( 初 始 为 空 ) ,元 素 类 型 为 (X;,H;) ,A 在 任何 时 候 都 能 
发 出 对 电 入 的 询问 (最 多 qn, 次 ) ,B 做 如 下 应 答 : 

。 如 果 X; 已 经 在 五 皇 , 以 HH,(X;) 二 H; 应 答 。 

。 否则 随机 选择 及 :<r{0,1)" ,以 有;(X;) 二 HH; 应 答 , 并 将 (Xi;,H;) 加 入 有 于 。 

(3) 挑战 。A 输出 两 个 要 挑战 的 消息 M。 和 Mi,B 随机 选择 Bk10,1)", 定 义 
C* 二 (P;,@),C* 的 解密 应 为 6 外 H,(e(dwm,P;)) 二 BH,(D), 即 B 已 将 BDH 问题 的 解 
刀 埋 人 五 晨 。 

268 








第 9 章 可 证 明 安 全 mm 


(4) 猜测 。 算 法 A 输出 猜测 8 一 k {10,1}。 同 时 ,B 从 HH 和 ?中 随机 取 (X;,H;), 把 XX; 
作为 BDH en 

下 面 证 明 B 能 以 至 少 2<(x) /gn, 的 概率 输出 DD 

设 ? 夸 示 事 件 : 在 模拟 中 A 发 出 H,(D) 询 问 , 即 H,(D) 出 现在 H? 中 。 由 B 建立 
H2* 的 过 程 知 ,其 中 的 值 是 B 随机 选取 的 。 下 面 的 证 明显 示 , 如 果 HF 没有 有 ;(D), 即 
A 得 不 到 右 ;,(D) ,A 就 不 能 以 。 的 优势 赢得 上 述 第 (4) 步 的 猜测 。 

言 9-10 在 以 上 模拟 过 程 中 ,B 的 模拟 是 完备 的 。 

证 明 在 以 上 模拟 中 ,A 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 布 的 。 这 是 因为 : 

(1) A 的 gm, 次 Hs 询问 中 的 每 一 个 都 是 用 随机 值 来 应 答 的 ,而 在 A 对 BasicPub 的 
真实 攻击 中 ,A 得 到 的 是 碳 ; 的 函数 值 ,由 于 假定 有 H; 是 随机 论 言 机 ,所 以 A 得 到 的 HH， 
的 函数 值 是 均匀 的 。 

(2) 由 尺 的 随机 性 ,不 论 A 是 否 询 问 到 厅 ,(D),A 得 到 的 密 文 RH,(D) 对 A 来 说 
是 完全 随机 的 。 

所 以 两 种 视图 不 可 区 分 。 (断言 9-10 证 毕 ) 

断言 9-11 在 上 述 模拟 攻击 中 PrL7 如 之 2e。 

证 明 与 9. 2. 2 节 的 断言 9-2 一 样 。 

由 断言 9-11 知 在 模拟 结束 后 ,D 以 至 少 2e 的 概率 出 现在 互 吕 。 又 由 引 理 9-8 的 假 
定 ,A 对 及; 的 询问 至 少 有 gn, >0 次 ,了 B 建 立 的 有 2 至 少 有 gn, 项 ,所 以 B 在 Hs* 随机 选 
取 一 项 作为 D, 概 率 至 少 为 2c(x)/gn,。 ( 引 理 9-8 证 毕 ) 

定理 9-15 的 证 明 : 设 存在 一 个 IND-ID-CPA 敌手 A 以 ec) 的 优势 攻破 Basicldent 
方案 ,A 最 多 进行 了 orz>0 次 密 钥 提 取 询 问 , 对 随机 论 言 机 万 至 多 om >0 次 询问 。 

ck) 


由 引 理 9-7, 存 在 IND-CPA 敌手 B 以 最 少 4 二 一 一 ~ TR 的 优势 成 功 攻击 BasicPub, 
由 引 理 9-8, 存 在 B 能 以 至 少 24 /gn 二 2%) 一 的 优势 解决 入 成 的 群 中 的 BDH 
* el(ltge)gn, 


问题 。 (定理 9-15 证 毕 ) 


4. 选择 密 文安 全 的 了 方案 

类 似 于 9. 2.2 节 , 虽 然 BasicIdent 是 IND-ID-CPA 安全 的 ,但 不 是 IND-ID-CCA 安 
全 的 。 

构造 CCA 安全 的 密码 体制 通常 是 先 构造 CPA 安全 的 密码 体制 ,再 将 其 转换 为 CCA 
安全 的 。Fujisaki-Okamoto 给 出 了 一 种 在 随机 论 言 机 模型 下 由 CPA 安全 的 密码 体制 转 
换 为 CCA 安全 的 密码 体制 的 方法 : 以 Es.(M,r) 表 示 用 随机 数 ~ 在 公 钥 pk 下 加 密 M 的 
公 钥 加 密 算法 ,如 果 Ew 是 单 向 加 密 的 , 则 Ek 二 (Esa(o; 昌 i(o,MD)) ,HGoM) 在 随机 论 
言 机 模型 下 是 IND-CCA 安全 的 ,其 中 o 是 随机 产生 的 比特 串 , 玉 ;、H, 是 哈 希 函数 。 

单 向 加 密 粗略 地 讲 就 是 对 一 个 给 定 的 随机 密 文 ,敌手 无 法 获得 明文 。 单 向 加 密 是 一 
个 弱 安全 概念 ,这 是 因为 它 没有 阻止 敌手 获得 明文 的 部 分 比特 值 。 

修改 后 的 加 密 方案 ( 称 为 Fullldent 方案 ) 如 下 : 
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1) 初始 化 
和 BasicIdent 的 Init(c) 相 同 ,此 外 还 需 选 取 两 个 哈 希 函数 H;: {0,1})"X{0,1}">Z7 
和 HH,: {0,1)">{0,1)", 其 中 是 待 加 密 消息 的 长 度 。 
2) 加 密 ( 用 接收 方 的 身份 ID 作为 公开 钥 , 其 中 ME {0,1)") 
Ew (M): 
Qop= Hi(ID) EGS$ 
oR{0,1}"; 
r=H;(oc,M); 
CT=(rP,o@H,(gh), MOH, (0)). 
其 中 sm 一 ce(Qn， PEGz o 
3) 密 钥 产生 
和 BasicIdent 中 的 IBEGen(ID) 相 同 。 
4) 解密 (其 中 CT=(U,V,W)) 
Da, (CT): 
如 果 UEG; ,返回 上; 
o=V@OH,(e(dwm,U)); 
M=WOH, (0); 
r=H;(c,M); 
如 果 U 关 rP, 返 回 |; 
返回 M. 
定理 9-16 设 哈 希 函 数 万 、.H;、H;、Hs 是 随机 论 言 机 ,如 果 BDH 问题 在 吐 成 的 群 
上 是 困难 的 ,那么 Fullldent 是 IND-ID-CCA 安全 的 。 
具体 来 说 ,假设 存在 一 个 IND-ID-CCA 敌手 A 以 ee) 的 优势 攻击 Fullldent 方案 ， 
A 分 别 做 了 至 多 gs 次 密 钥 提取 询问 ,至 多 go 次 解密 询问 ,对 随机 论 言 机 太 :、H;、H, 至 
多 做 了 gn, .gm ,qn, 次 询问 。 那 么 存在 另 一 个 敌手 B 至 少 以 Adv 吕 :Ce) 的 优势 解决 吐 成 
的 群 中 的 BDH 问题 。 其 中 


AdvgE (x) 过 2FOw (0 4 Fe jj 


eCI 十 ge 十 gp) 9m "dm "dD 
函数 FO 的 定义 见 定理 9-17。 
设 将 已" 作用 于 BasicPub, 得 到 的 方案 为 BasicPub” 。 下 面 用 符号 P, <=Pi 表示 问题 
P, 可 在 多 项 式 时 间 内 归 约 到 问题 P,。 为 了 证 明 BDH<=Fullldent, 根 据 归 约 的 传递 性 , 首 
先 证 明 BasicPub* 二 Fullldent, 再 证 明 BasicPub 二 BasicPub™, 最 后 证 明 BDH 一 
BasicPub, 如 图 9-7 所 示 。 其 中 BDH 二 BasicPub 已 由 引 理 9-8 证 明 , BasicPub 一 
BasicPub™ 由 下 面 定理 9-17 给 出 。BasicPub™ < 二 Fullldent 由 定理 9-18 给 出 。 


引 理 9-8 定理 9-17 定理 9-18 
BasicPub BasicPub™ X 一 一 一 


9-7 FullIdent 方案 到 BDH 问题 的 归 约 
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定理 9-17 (Fujisaki-Okamoto): BasicPub™” 到 BasicPub 的 归 约 。 
假设 存在 一 个 IND-CCA 敌手 A 以 e(e) 的 优势 攻击 BasicPub™ 方 案 ,A 分 别 做 了 至 
多 go 次 解密 询问 ,对 随机 论 言 机 昌 ; 、H, 至 多 做 了 am 、qn, 次 询问 。 那 么 存在 一 个 IND- 
CPA 敌手 B 至 少 以 a (rx) 的 优势 攻击 BasicPub 方案 。 其 中 
qa (rk) FOw, (ex) :gm ,gm gp) 








1 | a 
Za a FDC—2/9)%—1] 


其 中 ,g 是 群 的 阶 ,n 是 消息 长 度 。 

定理 9-18 FullIdent 方案 到 BasicPub* 的 归 约 。 

假设 存在 一 个 IND-ID-CCA 敌手 A 以 elw) 的 优势 攻击 Fullldent 方案 ,A 最 多 进行 
qz>0 次 密 钥 提取 询问 .ao 二 0 次 解密 询问 。 那 么 存在 一 个 IND-CCA 敌手 B 至 少 以 
的 优势 攻击 BasicPubw 。 

证 明 B 利 用 攻击 Fullldent 的 敌手 A, 如 图 9-8 所 示 。 





BasicPubwy 

















攻击 
(50 解密 询问 Cj=<b0 VW> (5) 解密 询问 C=<U， VW> 

应 答 应 答 

挑 政 政 

世 |_ (6) 挑战 MA 了 (9 挑战 Mo, MD 

C=<U, VW C"=<b-! U,V, W> 
| | 

(NF (NP 




















9-8 ”Fullldent 方案 到 BasicPub™ 的 归 约 


(1) 初始 化 。 挑 战 者 运行 BasicPub 的 密 钥 产生 算法 生成 公 钥 Kpw 二 (gq,Gi,Gs ,6， 
nsP,Ppw ,Qo,，H2,H; ,Hs) ,将 Kow 给 敌手 B, 保 留 秘密 钥 dp 一 *Qm 。 

下 面 (2) 一 (8) 步 ,B 模 拟 A 的 挑战 者 和 A 进行 IND 游戏 。 

(2) B 的 初始 化 。 

B 将 公开 钥 Ku 一 (q,Gi ,Gs ,2,n,P,Ppw Hi,H,,H;,H,) 给 A。 

B 为 了 承担 A 的 挑战 者 ,需要 构造 一 个 Hi 列表 HY, 它 的 元 素 类 型 是 四 元 组 (ID;， 
Qi bh scoin:), 


(3) Hi 询问 ,与 引 理 9-7 相同 。 
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(4) 密 钥 提 取 询 问 -阶段 1, 与 引 理 9-7 相同 。 

(5) 解密 询问 -阶段 1。 设 A 询问 (ID;,C;) (注意 : Fullldent 密 文 ) ,其 中 C; = 
(Uis,Vi,Wi)。B 在 HY* 中 查找 与 ID; 对 应 的 四 元 组 (ID ,Qi ,2 ,coini) ,然后 应 答 如 下 : 

如 果 coini 一 1 ,运行 密 钥 提取 询问 ,获得 密 钥 后 做 解密 询问 应 答 ， 

如 果 coin =0, 则 Q,=2Qn; 

。 求 C= (biUi,Vi,W;) (注意 : BasicPubw 密 文 ) 。 

。 向 挑战 者 做 C! 的 解密 询问 ,将 挑战 者 的 应 答 转 发 给 A。 

(6) A 发 出 挑战 。 设 A 的 挑战 是 ID" ,Mo ,Mi。B 在 HH 查找 项 (ID;,Q;,bi,coin;)， 
使 得 ID,=ID*。B 应 答 如 下 : 

。 如 果 coin; 二 1,B 报错 并 退出 (B 对 BasicPube 的 攻击 失败 ); 

。 如 果 coin; 二 0, 将 Mo .Mi 给 自己 的 挑战 者 ,挑战 者 随机 选 8<-r{0,1), 以 BasicPub™ 

加 密 Ms 得 C = 二 (U,V,W) 作 为 对 B 的 应 答 ;B 则 以 C*'= (57IU,V,W) 作 为 对 A 
的 应 答 。 

证 明 与 引 理 9-7 相同 。 

(7) 密 钥 提取 询问 -阶段 2, 与 密 钥 提取 询问 -阶段 1 相同 。 

(8) 解密 询问 -阶段 2, 与 解密 询问 -阶段 1 相同 。 然 而 ,如 果 B 得 到 的 密 文 与 挑战 密 
文 C* 二 (U,V,W) 相 同 ,B 报 错 并 退出 (B 对 BasicPub* 的 攻击 失败 ) 。 

(9) 猜测 。A 输出 猜测 B ,B 也 以 作为 自己 的 猜测 。 

断言 9-12 在 以 上 过 程 中 ,如 果 了 不 中 断 , 则 B 的 模拟 是 完备 的 。 

证 明 在 以 上 模拟 中 , 当 B 猜 测 正确 时 ,A 的 视图 与 其 在 真实 攻击 中 的 视图 是 同 分 
布 的。 这 是 因为 

。A 的 gn 次 Hi 询问 中 的 每 一 个 都 是 用 随机 值 来 应 答 的 ( 同 断言 9-9); 

。B 对 A 的 密 钥 提取 询问 的 应 答 是 有 效 的 ( 同 断 言 9-9); 

。B 对 A 的 解密 询问 的 应 答 是 有 效 的 : 

如 果 coini =1 ,因为 密 钥 提取 询问 是 有 效 的 ,B 所 做 的 解密 是 有 效 的 。 

如 果 coin; 二 0, 设 d; 二 sQ; 是 Fullldent 与 ID; 相对 应 的 秘密 钥 , 则 在 Fullldent 中 使 
用 d; 对 C; 二 (Ui ,Vi,W) 的 解密 与 在 BasicPPub* 中 使 用 dw 对 C= 二 (5;U; ,Vi;,W) 的 解密 相 
同 ,这 是 因为 

él(dp sbiUi) = 2(sQw biU;) = Esb:QDIU;) = EsQi1U) = di,U,) 
所 以 B 所 转发 的 挑战 者 的 解密 是 有 效 的 。 (断言 9-12 证 毕 ) 

下 面 考虑 在 以 上 过 程 中 B 不 中 断 的 概率 。 

引起 B 中 断 有 3 种 可 能 情况 : 

(1) 阶段 1.2 中 的 密 钥 提取 询问 ( 当 coin; 二 0); 

(2) 挑战 时 A 发 出 的 身份 ID* 对 应 的 (ID ,Qi ,bi ,coin;) ,使 得 coin; 王 1; 

(3) 阶段 2 的 解密 询问 时 ,A 发 出 的 密 文 与 以 前 的 挑战 密 文 相同 。 

在 第 (3) 种 情况 下 , 设 A 发 出 的 密 文 C; 二 (Ui;,Vi,Wi) 与 它 的 挑战 密 文 C* = (b71U， 
V,W) 相 同 , 则 U=6Ui;,V 二 Vi,W 二 W;。B 将 C; 转发 给 挑战 者 前 做 变换 得 Cf! 二 (6b;U;， 
Vi,W;) ,得 到 的 结果 与 B 得 到 的 挑战 密 文 C* 二 (U,V,W) 相 同 。 当 且 仅 当 coin; 二 0 时 这 
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种 情况 发 生 。 

在 情况 (1) 下 ,B 不 中断 的 概率 为 (1 一 9) ;在 情况 (2) 下 ,B 不 中 断 的 概率 为 6; 在 情 
况 (3) 下 ,B 不 中 断 的 概率 为 (1 一 0)” 。 

所 以 整个 过 程 中 B 不 中 断 的 概率 为 (1 一 6)%6(1 一 0)” 二 (1 一 6)E1+2m6。 类 似 于 定 


理 9-12 的 证 明 , 当 6= 时 ,(1 一 9)*e+sg 达到 最 大 ,最 大 值 为 


1 1 
qF 十 dp 十 1 e(CqF 十 gp 十 1)” 


由 断言 9-12 知 ,A 在 模拟 攻击 中 的 优势 AdvSRRecs Cx) = | Pr[8= 扑 一 坊 | 与 真实 
攻击 中 的 优势 AdvRmecA(e) 相 等 ,至 少 为 (Ce)。 

B 的 优势 为 

1 IND-ID 和 ECK) 
本 
(定理 9-18 证 毕 ) 

定理 9-16 的 证 明 : 

参见 图 9-7。 假 定 敌 手 攻击 Fullldent 的 优势 为 , 则 由 定理 9-18, 存 在 另 一 攻击 


BasicPuby 的 敌手 ,其 优势 为 a 一 由 定理 9-17 ,存在 另 一 攻击 BasicPub 的 
敌手 ,其 优势 为 


€ 
e(1 十 gg 十 ap)” 


a 6 
@(K) 之 FOuv (a (Kk) ,gm qn, ‘g0) =FOww (G0 FE Fa “qn, ‘q0] 


由 引 理 9-8 ,存在 另 一 攻击 BDH 的 敌手 ,其 优势 为 


2e ce(k) 
i 2FOw (se Fs "gH, * qn, ‘gn ]/an 








(定理 9-16 证 毕 ) 


9.8 分 勾引 理 





9.5 节 和 9.6 节 介 绍 的 签名 方案 ,在 其 安全 性 证 明 中 ,挑战 者 利用 敌手 的 一 次 成 功 伪 
造 ,就 可 以 破解 困难 问题 。 在 下 面 介绍 的 签名 方案 中 ,挑战 者 利用 敌手 的 一 次 成 功 伪造 ， 
不 足以 破解 困难 问题 ,这 时 需要 两 个 甚至 多 个 有 特定 关系 的 成 功 伪造 才能 破解 困难 问题 。 
在 这 种 方案 中 ,签名 结果 为 四 元 组 (mo , ,oz ) 形 式 , 其 中 

。m 为 待 签名 的 消息 ; 

。 ol 为 对 某 个 随机 选取 的 整数 ~ 的 承诺 ; 

。 帮 是 消息 mm 和 ci 的 哈 希 值 ; 

。 oz 由 rasm 及 h 产生 。 

这 种 形式 的 签名 方案 包括 Fiat-Shamir 方案 、Schnorr 方案 等 许多 方案 ,其 安全 性 证 
明 需 要 以 下 分 又 引 理 。 

定理 9-19( 分 叉 引 理 ) 在 四 元 组 (ma :jos ) 形 式 的 签名 方案 中 , 设 哈 希 函数 及 是 
随机 论 言 机 ,敌手 A 至 多 进行 gn 次 日 询问 。 如 果 A 能 以 ce(x) (x 是 安全 参数 ) 的 优势 输 
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出 一 个 有 效 的 签名 (mo ,ja) ,那么 A 能 以 (1 一 e-! ) 人 的 概率 输出 两 个 有 效 的 签名 


mso1sh,02) 和 (msoi sh ,02), 其 中 用 hh。 
证 明 设 Q= 一 (mo ), ,Qu 二 Gm wo) 是 A 对 昌 所 做 的 gn 次 询问 ,ps，…， 
po 是 阳 的 gn 次 应 答 。 又 设 A 在 询问 -应 答 完成 后 ,以 <(&) 的 概率 输出 一 个 有 效 的 签名 


(Cao jos)。 由 于 感 (msm) 是 随机 的 ,Cmso) 等 于 某 个 询问 ( 设 为 Qi) 的 概率 等 于 二 。 


又 设 A 仍 以 Qi= Gm Tt EL = (mg, ro ) 询 问 瑟 ,但 得 到 的 应 答 是 op yy 
po 。A 以 e(k) 的 概率 输出 另 一 个 有 效 的 签名 Gm ,of ,hh ,0s), 其 中 及 关 h',(m ,01) 等 于 某 
个 询问 ( 设 为 Qr ) 。 

若 (m,01) 等 于 Qs 且 B' = 二 B( 此 时 Gm’ ,of) 二 (ms,o1)), 则 在 询问 -应 答 链 表 上 找到 一 个 
分 又 ,如 图 9-9 所 示 。 


Op 2 
mm ve-------- 一 一 (oo) 
有 py 
O Q, Qp 
一 一 一 一 一 一 一 一 一 一 
pI 9 
pp -== 三 = 三 = 三 pw 。 (m, al Na) 
2pr 2w 


9-9 分 叉 引 理 示 意图 


设 以 下 3 个 事件 为 ， 

i 一 一 (mo1) 等 于 Qp; 

已 一 一 8 一 8 ,为 H 的 一 个 碰撞 ; 
下 一 一 找到 一 个 分 又 。 


由 
| Pr[E] =Pr[LEE;] = PrLEJPrLE; | E,] 
0 
x~(1—e') 1 
qn 
所 以 A 至 少 以 Q 一 1') 人 的 概率 获得 两 个 有 效 签名 , 即 (m01,h,0:) 和 (mwa 本 
0%) ,使 得 hh 。 (定理 9-19 证 毕 ) 


例如 ,利用 分 叉 引 理 可 证 明 7. 3. 1 节 中 的 ElGamal 签名 体制 和 7. 3. 2 节 中 的 Fiat- 
Shamir 签名 体制 ,在 适应 性 选择 消息 攻击 下 具有 存在 性 不 可 伪造 性 , 即 为 EUF-CMA 安 
全 的 。 

定理 9-20 ”如 果 求 解 离散 对 数 问题 是 困难 的 , 则 ElIGamal 签名 体制 是 EUF-CMA 安 
全 的 。 

具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 A 至 多 进行 gn 次 有 H 询问 ,以 ew) 的 优势 
攻破 ElGamal 签名 体制 ,那么 一 定 存在 一 个 敌手 B 至 少 以 
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a) 


qn 


Advms(r) 宇 (1—e) 


的 优势 求解 一 个 离散 对 数 问题 的 实例 。 
证 明 设 B 意 欲求 解 y( 反 gr mod p) 的 离散 对 数 ,根据 分 勾引 理 A 能 以 (1 一 e 7) 
人 的 概率 获得 以 y 作为 公开 钥 的 两 个 签名 (m,r,e,s) 和 (m,r,e ,s), 其 中 e 关 ce 。B 建 


立方 程 yr’ 圭 g'(mod p) 和 yr’ 三 g“ (mod p)。 由 于 g 是 2Z? 的 生成 元 ,所 以 存在 某 个 整 
数 1 二 p 一 1, 使 得 +r 三 g'(mod p), 同 时 由 y 三 g*(mod p),B 获得 方程 组 
十 硅 e(mod p—1) 





zr 二 ls’ =e (mod p—1) 
由 e 半 el(mod p 一 1), 有 s 关 s(mod p 一 1) ,可 得 


l= < 二 一 1) 
= 





由 于 7 的 随机 性 ,ged(r,p 一 1) 取 1 的 概率 是 可 忽略 的 ,所 以 B 得 到 xz 二 全 公 





一 1) 。B 获胜 的 概率 为 (1 一 er)SeD 。 (定理 9-20 证 毕 ) 


定理 9-21 如 果 分 解 大 整数 问题 是 困难 的 , 则 Fiat-Shamir 签名 体制 是 EUF-CMA 
安全 的 。 

具体 来 说 ,假设 存在 一 个 EUF-CMA 敌手 A 至 多 进行 gn 次 H 询问 ,以 ex) 的 优势 
攻破 Fiat-Shamir 签名 体制 ,那么 一 定 存在 一 个 敌手 B 至 少 以 

Advaatey) SCL—e) E 
2gn 
的 优势 求解 一 个 大 整数 分 解 问题 的 实例 。 

证 明 设 n 是 BB 意欲 分 解 的 大 整数 ,B 随机 选择 vEZ; ,计算 x 一 (mod nn) 的 最 小 平 
方 根 v 作为 秘密 钥 。 如 果 敌 手 A 能 够 攻破 Fiat-Shamir 签名 体制 ,根据 分 又 引 理 A 能 以 
《1 一 05 和 的 概率 获得 两 个 签名 (ma io) 和 (mm， 909 00) ,使 得 月 = (本 机) 尖 
有 二 (el ,… ,el)。 设 ei 关 e1,iE {1,…,k) ,不 妨 设 ei 二 0,e! 二 1,B 得 到 s; 寺 ri;(mod n),s/ 三 
riv(mod n) , 设 x 三 si 1s' mod n, 则 x? 三 wT! 三 vw? mod n。 因为 ged(z 一 wz 以 于 的 概率 等 


2 


于 的 因子 ,所 以 B 以 (1 一 394 的 概率 得 到 的 因子 。 


(定理 9-20 证 毕 ) 
习 题 


1. 解释 语义 安全 的 概念 ,这 一 概念 可 用 于 抵抗 如 下 攻击 吗 ? 
(1) 被 动 的 多 项 式 时 间 有 界 的 敌手 ; 
(2) 被 动 的 多 项 式 时间 无 界 的 敌手 ; 
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(3) 主动 的 多 项 式 时 间 有 界 的 敌手 。 

2. Rabin 密码 体制 是 IND-CPA 安全 的 吗 ? 是 IND-CCA 安全 的 吗 ? 是 IND-CCA2 
安全 的 吗 ? 

3. 计算 性 Diffie-Hellman 问题 (Computational Diffie-Hellman,CDH 问题 ) 是 已 知 
(gsg ,8g?) ,计算 gs? 。 离 散 对 数 问题 (Discrete Logarithm 问题 ,DL 问题 ) 是 已 知 (g,g”)， 
计算 xz。 证 明 如 下 关系 : 

DL<=CDH<=DDH 
4. 设 正 一 (Enc' ,Dec') 是 单 钥 加 密 方案 ,将 9. 2. 2 节 中 的 加 密 方案 修改 如 下 : 
输入 公开 钥 (n,e) 和 消息 mE {0,1)“ ,选择 一 个 随机 数 ~ 一 RZ; ,输出 密 文 
(mod n, Enct (zz)) 。 

证 明 如 果 RSA 问题 是 困难 的 , 则 修改 后 的 加 密 方 案 是 IND-CPA 安全 的 公 钥 加 密 
方案 。 

5. Cramer-Shoup 密码 体制 也 使 用 哈 希 函数 ,其 安全 性 证 明 为 什么 不 是 随机 论 言 机 
模型 ? 

6. (1) 在 Paillier 方 案 1 中 , 设 n=5X7,g==13, 在 对 m= 二 23 加 密 时 , 取 一 19, 计 算 
密 文 , 并 验证 解密 过 程 。 

(2) 在 Paillier 方案 2 中 , 设 2=5X7,g 王 13, 计 算 六 =1178 的 密 文 ,并 验证 解密 
过 程 。 
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第 10 辣 
网络 加 密 与 认证 


10.1 网 络 通信 加 密 





1011 开放 系统 互 连 和 TCPIP 分 层 模型 


1 开放 系统 互 连 参考 模型 

开放 系统 互 连 (Open Systems Interconnection ,OSI) 参 考 模型 描述 信息 如 何 从 一 台 
计算 机 的 应 用 层 软件 通过 网 络 媒体 传输 到 另 一 台 计 算 机 的 应 用 层 软 件 。 它 是 由 7 层 协 议 
组 成 的 概念 模型 ,每 一 层 都 说 明了 特定 的 网 络 功能 。 

OSI 参考 模型 把 网 络 中 计算 机 之 间 的 信息 传递 分 成 7 个 较 小 的 易于 管理 的 层 , 它 的 
7 层 协 议 中 的 每 一 层 协 议 分 别 执行 一 个 (或 一 组 ) 任 





























务 ,各 层 问 相互 独立 , 互 不 影响 。7 层 由 低 至 高 分 别 为 “| | | 
物理 层 链 路 层 、 网 络 层 \ 传 输 层 会 话 层 、 表 示 层 \ 应 用 5 |- 会 
层 。 如 图 10-1 所 示 , 其 中 左边 数字 表示 层次 ,右边 表 4 | ”传输 层 
示 可 将 7 层 继续 分 为 高 层 和 低层 两 类 ,其 中 高 层 论述 3| gd 民 | | 
的 是 应 用 问题 ,通常 用 软件 实现 。 最 高 层 (应 用 层 ) 最 2 [时 
接近 用 户 ,用 户 和 应 用 层 通过 通信 应 用 软件 相互 作用 。 。。“' [物理 





在 参考 模型 中 ,上 层 意 指 某 一 层 之 上 的 任何 层 。 10-1 OSI 参考 模型 的 层次 划分 

低层 负责 处 理 数 据 传 输 问题 ,其 中 的 物理 层 和 链 
路 层 由 硬件 和 软件 共同 实现 ,而 其 他 层 通 常 只 是 用 软件 来 实现 。 最 底层 (物理 层 ) 最 接近 
物理 网 络 介质 (如 网 络 电缆 ) ,其 职责 是 将 信息 放置 到 介质 上 。 下 面 给 出 各 层 的 具体 含义 。 

物理 层 : 物理 层 定义 了 用 于 执行 维护、 终止 物理 链 路 所 需要 的 电子 .机械 .过 程 及 功 
能 的 规则 。 

链 路 层 : 链 路 层 通 过 物理 网 络 链 路 提供 可 靠 的 数据 传输 。 不 同 的 链 路 层 定 义 了 不 同 
的 网 络 和 协议 特性 ,其 中 包括 物理 编 址 、 网 络 拓 扑 结 构 错误 校 验 、 帧 序列 以 及 流 控 。 

网 络 层 : 用 于 提供 路 由 选择 及 其 相关 的 功能 ,网 络 层 为 高 层 协议 提供 面向 连接 的 服 
务 和 无 连接 服务 。 网 络 层 协 议 一 般 都 是 路 由 选择 协议 ,但 其 他 类 型 的 协议 也 可 在 网 络 层 
上 实现 。 

传输 层 : 用 于 实现 向 高 层 可 靠 地 传输 数据 的 服务 。 传 输 层 的 功能 一 般 包括 流 控 、 多 
路 传输 、 虚 电路 管理 及 差错 校 验 和 恢复 。 

会 话 层 : 用 于 建立 、 管 理 和 终止 表示 层 与 实体 之 间 的 通信 和 会话, 通信 会 话 包 括 发 生 在 
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不 同 网 络 设备 的 应 用 层 之 间 的 服务 请 求 和 服务 应 答 ,这些 请 求 和 应 等 通过 会 话 层 的 协议 
实现 。 

表示 层 : 提供 多 种 用 于 应 用 层 数 据 的 编码 和 转换 功能 ,以 确保 从 一 个 系统 应 用 层 发 
送 的 信息 可 以 被 另 一 系统 的 应 用 层 识别 。 

应 用 层 : 是 最 接近 终端 用 户 的 OSI 层 , 这 就 意味 着 OSI 应 用 层 与 用 户 之 间 是 通过 软 
件 直接 相互 作用 的 。 应 用 层 的 功能 一 般 包 括 标识 通信 伙伴 、 定 义 资源 的 可 用 性 和 同步 
通信 。 

OSI 模 型 系统 间 的 通信 方式 如 下 : 信息 从 一 个 计算 机 系统 的 应 用 层 软件 传输 到 另 一 
个 计算 机 系统 的 应 用 层 软件 ,必须 经 过 OSI 参考 模型 的 每 一 层 。 例 如 ,系统 A 的 应 用 层 
软件 要 将 信息 传送 到 系统 B 的 应 用 层 软件 ,那么 系统 A 的 应 用 程序 先 把 该 信息 传送 到 A 
的 应 用 层 ( 第 7 层 ) ,然后 应 用 层 又 把 信息 传送 到 表示 层 (第 6 层 ) ,表示 层 再 把 信息 传送 到 
会 话 层 (第 5 层 ) ,依次 下 去 ,直到 信息 传送 到 物理 层 (第 1 层 )。 在 物理 层 ,信息 被 放置 到 
物理 网 络 介质 上 ,并 通过 介质 发 送 到 系统 B。 系 统 B 的 物理 层 从 物理 介质 上 获取 信息 , 然 
后 把 信息 从 物理 层 传送 到 链 路 层 (第 2 层 ) , 链 路 层 再 把 信息 传送 到 网 络 层 (第 3 层 ) ,依次 
上 去 ,直到 信息 传送 到 系统 B 的 应 用 层 ( 第 7 层 ) 。 最 后 ,B 的 应 用 层 再 把 信息 传送 到 接收 
应 用 程序 中 ,这 样 便 完成 了 整个 通信 过 程 。 


2. TCPIP 分 层 模型 

TCP/IP 是 因特网 (Internet) 的 基本 协议 , 它 是 “传输 控制 协议 (Transmission Control 
Protocol,TCP) 和 网 际 协议 (Internet Protocol,IP)” 的 简称 。 事 实 上 ,TCP/IP 是 个 协议 
系统 ,是 由 一 系列 支持 网 络 通信 的 协议 组 成 的 集合 。 本 节 仅 介绍 TCP/IP 的 分 层 模型 ,对 
具体 的 协议 不 做 介绍 。 

TCP/IP 可 以 采用 与 OSI 结构 相同 的 分 层 方法 来 建立 模型 ,其 模型 分 为 4 层 ,分 别称 
为 应 用 层 .传输 层 IP 层 和 接口 层 。 

(1) 应 用 层 : 这 一 层 将 OSI 高 层 (应 用 层 、. 表 示 层 和 会 话 层 ) 的 功能 合并 为 一 层 。 

(2) 传输 层 : 在 功能 上 ,这 一 层 等 价 于 OSI 的 传输 层 。 

(3) IP 层 : 在 功能 上 ,这 一 层 等 价 于 OSI 的 网 络 层 。 

(4) 接口 层 : 在 功能 上 ,这 一 层 等 价 于 OSI 的 链 路 层 和 物理 层 。 

其 中 在 传输 层 上 的 协议 有 两 个 : TCP 和 UDP(User Datagram Protocol ,用 户 数 据 报 
协议 ),TCP 是 一 个 面向 连接 的 传输 协议 ,是 为 在 无 连接 的 网 络 业 务 上 运行 面向 连接 的 业 
务 而 设计 的 。UDP 是 一 个 无 连接 传输 协议 , 它 与 OSI 的 无 连接 传输 协议 相对 应 。 


1012 网 络 加 密 方式 


1. 基本 方式 

为 了 将 数据 在 网 络 中 传送 ,需要 在 数据 前 面 加 上 它 的 目的 地 址 , 称 加 在 数据 前 面 的 目 
的 地 址 为 报头 ,用 户 数据 加 上 报头 称 为 数据 报 。 加 强 网 络 通信 安全 性 的 最 有 效 且 最 常用 
的 方法 是 加 密 。 网 络 加 密 的 基本 方式 有 两 种 : 链 路 加 密 和 端 端 加 密 。 

链 路 加 密 是 指 每 个 易 受 攻击 的 链 路 两 端 都 使 用 加 密 设 备 进行 加 密 , 因 此 整个 通信 链 
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路 上 的 传输 都 是 安全 的 。 缺 点 是 数据 报 每 进入 一 个 分 组 交换 机 后 都 需要 一 次 解密 ,原因 
是 交换 机 必须 读 取 数 据 报 报头 以 便 为 数据 报 选择 路 由 。 因 此 ,在 交换 机 中 数据 报 易 受 到 
攻击 。 

链 路 加 密 时 ,每 一 链 路 两 端的 一 对 节点 都 应 共享 一 个 密 钥 ,不同 节点 对 共享 不 同 的 密 
钥 , 因 此 需 提供 很 多 密 钥 ,每 个 密 钥 仅 分 配给 一 对 节点 。 

端 端 加 密 是 指 仅 在 一 对 用 户 的 通信 线路 两 端 ( 即 源 节 点 和 终端 节点 ) 进 行 加 密 , 因 此 
数据 是 以 加 密 的 形式 通过 网 络 由 源 节点 传送 到 目标 节点 ,目标 节点 用 与 源 节点 共享 的 密 
钥 对 数据 解密 。 所 以 , 端 端 加 密 可 防止 对 网 络 上 链 路 和 交换 机 的 攻击 。 

端 端 加 密 还 能 提供 一 定 程度 的 认证 ,因为 源 节点 和 终端 节点 共享 同一 密 钥 , 所 以 终端 
节点 相信 自己 收 到 的 数据 报 的 确 是 由 源 节点 发 来 的 。 链 路 加 密 方式 不 具备 这 种 认证 
功能 。 

端 端 加 密 也 有 自己 的 缺点 。 由 于 只 有 目标 节点 能 对 加 密 结果 解密 ,所 以 如 果 对 整个 
数据 报 加 密 , 则 分 组 交换 节点 收 到 加 密 结果 后 无 法 读 取 报 头 , 从 而 无 法 为 该 数据 报 选择 路 
由 。 因 此 ,主机 只 能 对 数据 报 中 的 用 户 数据 部 分 加 密 而 报头 则 以 明文 形式 传送 。 这 样 , 虽 
然 用 户 数据 部 分 是 安全 的 ,但 却 容易 受 业 务 流量 分 析 的 攻击 。 

为 提高 安全 性 ,可 将 两 种 加 密 方式 结合 起 来 使 用 ,如 图 10-2 所 示 。 其 中 主机 用 端 端 
加 密 密 钥 加 密 数 据 报 中 用 户 的 数据 部 分 ,然后 用 链 路 加 密 密 钥 对 整个 数据 报 再 加 密 一 次 。 
当 被 加 密 的 数据 报 在 网 络 中 传送 时 ,每 一 交换 机 都 使 用 链 路 加 密 密 钥 解密 数据 报 以 读 取 
报头 ,然后 再 用 下 一 链 路 的 链 路 加 密 密 钥 加 密 整 个 数据 报 并 发 往 下 一 交换 机 。 所 以 , 当 两 
种 加 密 方式 结合 起 来 使 用 时 ,除了 在 每 个 交换 机 内 部 数据 报 报头 是 明文 形式 外 ,其 他 整个 
过 程 数据 报 都 是 密 文 形式 。 






令 去 示 阐 请 加 密 设备 

〇 表示 链 路 加 密 设备 

PSN 为 分 组 交换 节点 
图 10-2 分 组 交换 网 中 的 加 密 


2 端 端 加 密 的 逻辑 位 置 

端 端 加 密 的 逻辑 位 置 是 指 将 加 密 功 能 放 在 OSI 参考 模型 的 哪 一 层 。 可 有 几 种 选择 ， 
其 中 最 低层 的 加 密 可 在 网 络 层 进行 ,这 时 被 保护 的 实体 数目 与 网 络 中 终端 数目 一 样 ,任意 
两 个 终端 如 果 共 享 同一 密 钥 ,就 可 进行 保密 通信 。 一 终端 系统 若 想 和 另 一 终端 系统 进行 
保密 通信 , 则 两 个 端 系统 用 户 的 所 有 处 理 程序 和 应 用 程序 都 将 使 用 同一 加 密 方案 和 同一 
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密 钥 。 

在 端 端 协议 中 利用 加 密 功能 ,可 为 通信 业务 提供 端 端的 安全 性 。 然 而 这 种 方案 不 能 
为 穿 过 互联 网 的 通信 业务 (如 电子 邮件 .电子 数据 交换 (EDI) 、 文 件 传输 ) 提 供 这 种 端 端的 
安全 性 。 如 图 10-3 所 示 ,该 图 表示 用 电子 邮件 网 关 沟通 两 个 互联 网 ,其 中 一 个 是 使 用 
OSI 结构 , 另 一 个 是 使 用 TCP/IP 结构 。 这 时 在 两 个 互联 网 之 间 的 应 用 层 以 下 不 存在 端 
端 协议 ,从 一 个 端 系统 发 出 的 传输 和 连接 到 邮件 网 关 后 即 终止 ,邮件 网 关 再 建立 一 个 新 的 
传输 并 连接 到 另 一 端 系统 。 即 使 邮件 网 关连 接 的 两 个 互联 网 使 用 同一 结构 ,传输 过 程 也 
是 如 此 。 因 此 ,对 诸如 电子 邮件 这 种 具有 存储 转发 功能 的 应 用 ,只 有 在 应 用 层 才 有 端 端 加 
密 功 能 。 








































































































OSI 端 系统 邮件 网 关 TCP/IP 端 系统 
电子 邮件 Fe- 一 -一 -一 一 -~ EF 电 也 邮件 下 = 一 = 二 = 一 -= 一 一 一 = 一 == | 
Er -| 二 E2E== 一 | 表示 层 | 电子 邮件 电子 邮件 
| 会话 层 | | 会话 层 _ TCP Fe---------- 一 | TCP 
传输 层 |--------- 一 一 | ”传输 层 
网 络 层 Fe----------- 一 | 网络 层 IP | pe :0| IP 
链 路 层 链 路 层 链 路 层 链 路 层 
物理 层 物理 层 物理 层 物理 层 
互联 网 互联 网 
链 路 层 加 密 的 范围 
在 应 用 层 以 下 端 端 加 密 的 范围 加 
在 应 用 层 端 端 加密 的 范围 





图 10-3 存储 转发 通信 的 加 密 范围 


应 用 层 加 密 的 缺点 是 需 考虑 的 实体 数目 将 显著 增加 ,比如 网 络 中 有 数 百 个 主机 , 则 需 
考虑 的 实体 (用 户 和 进程 ) 可 能 有 数 千 个 ,不 同 的 一 对 实体 需 产 生 一 个 不 同 的 密 钥 ,因此 需 
要 产生 和 分 布 更 多 的 密 钥 。 改 进 的 方法 是 在 分 层 结 构 上 , 越 往 上 层 则 加 密 越 少 的 内 容 。 
图 10-4 以 TCP/IP 结构 为 例 说 明 这 种 改进 方法 ,其 中 应 用 层 网 关 指 在 应 用 层 上 操作 的 存 
储 转 发 设备 ,阴影 部 分 表示 加 密 。 图 10-4(a) 表 示 在 应 用 层 加 密 , 这 时 仅 对 TCP 数据 段 中 
的 用 户 数据 部 分 加 密 , 而 TCP 报头 、IP 报头 、 网 络 层 报头 、 链 路 层 报头 以 及 链 路 层 报 尾 则 
是 明文 形式 。 图 10-4(b) 表 示 在 TCP 层 加 密 , 其 中 对 端 端 连接 ,用 户 数据 和 TCP 报头 被 
加 密 , 而 IP 报头 则 是 明文 形式 ,这 是 因为 路 由 器 需要 为 IP 数据 报 选择 从 源 节 点 到 目标 节 
点 的 路 由 。 然 而 ,如 果 数 据 报 通 过 网 关 , 则 终止 TCP 连接 ,并 为 下 一 跳 建 立 一 个 新 的 传输 
连接 ,这 时 IP 也 将 网 关 当 作 目 标 节 点 。 因 此 ,在 网 关 , 数 据 单元 又 被 解密 。 如 果 下 一 跳 又 
连接 到 TCP/IP 网 络 上 ,用 户 数据 和 TCP 报头 在 传输 以 前 又 将 被 加 密 。 图 10-4(c) 表 示 
在 链 路 层 加 密 , 在 每 个 链 路 上 除了 链 路 层 报头 外 ,所 有 数据 单元 都 被 加 密 , 但 在 路 由 器 和 
网 关 之 中 所 有 数据 单元 都 是 明文 形式 。 


280 


a 第 10 章 网 络 加 密 与 认证 mm 






























































链 路 层 报 类 网 络 层 报 类 | ”全 报头 ”| TCP 报 类。 [数据 | 链 路 层 报 必 
(a) 应 用 层 加 密 ( 链 路 上 和 路 由 器 、 网 关中 ) 
链 路 层 报头 网 络 层 报 头 | ”IP 报头 | TCP 报关 ”| 数据 ”| 链 路 层 报 必 
链 路 上 和 路 由 器 中 
链 路 层 报头 | 网 络 层 报头 | ”iP 报关 ”TCP 报头 数据 。 | 链 路 层 报 尾 
网 关中 
(b) TCP 层 加 密 
链 路 层 报 头 网 络 层 报头 | IP 报头 ”| TCP 报 关 ”| 数据 ”| 链 路 层 报 尾 
链 路 上 
链 路 层 报头 | 网 络 层 报头 | 。 IP 报 头 | TCP 报 头 [ ”数据 链 路 层 报 尾 
路 由 器 和 网 关中 
(0) 链 路 层 加 密 


图 10-4 不 同 层次 的 加 密 方案 


102 ”Kerberos 认证 系统 





Kerberos 是 MIT 作为 Athena 计划 的 一 部 分 开发 的 认证 服务 系统 。Kerberos 系统 
建立 了 一 个 中 心 认证 服务 器 ,用 于 向 用 户 和 服务 器 提供 相互 认证 。 目 前 ,该 系统 已 有 5 个 
版 本 ,其 中 V1 一 V3 是 内 部 开发 版 ;V4 是 1988 年 开发 的 , 现 已 得 到 广泛 应 用 ;而 V5 则 进 
一 步 对 V4 中 的 某 些 安全 缺陷 做 了 改进 ,已 于 1994 年 作为 Internet 标准 (草稿 ) 公 
(RFC 1510) 。 

系统 的 目的 是 解决 以 下 问题 : 在 开放 的 分 布 式 环境 中 ,用 户 希 望 访问 网 络 中 的 服务 
器 ,而 服务 器 则 要 求 能 够 认证 用 户 的 访问 请 求 并 仅 允 许 那 些 通过 认证 的 用 户 访问 服务 器 ， 
以 防 未 授权 用 户 得 到 服务 和 数据 。 下 面 以 Kerberos V4 为 例 介绍 该 系统 (系统 使 用 的 协 
议 是 基于 第 9 章 介绍 的 Needham-Schroeder 认证 协议 ) 。 


1021 Kerberos V4 


如 果 网 络 环境 未 加 任何 保护 手段 , 则 任 一 用 户 都 可 获取 任 一 服务 器 (V) 提 供 的 服务 。 
这 时 明显 的 安全 威胁 是 假冒 , 即 敌 手 可 假装 是 一 客户 以 获取 访问 服务 器 的 特权 。 为 防止 
这 种 假冒 ,服务 器 应 能 够 确定 要 求 服务 的 客户 的 身份 ,但 在 开放 环境 中 则 给 服务 器 增加 了 
过 重 的 负担 。 为 此 引入 一 个 称 为 认证 服务 器 (Authentication Server, AS) 的 第 三 方 来 承 
担 对 用 户 的 认证 。AS 知道 每 个 用 户 的 口令 ,并 将 口令 存在 一 个 中 心 数据 库 。 用 户 如 果 
想 访 问 某 一 服务 器 ,要 首先 向 AS 发 出 请 求 (其 中 包括 用 户 的 口令 ),AS 将 收 到 的 用 户口 
令 和 中 心 数据 库存 储 的 口令 相 比 较 以 验证 用 户 的 身份 。 如 果 验 证 通过 ,AS 则 向 用 户 发 
放 一 个 允许 用 户 得 到 服务 器 服务 的 票据 ,用 户 则 根据 这 一 票据 去 获取 服务 器 V 的 服务 。 
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如 果 用 户 需 多 次 访问 同一 服务 器 或 不 同 服务 器 , 则 为 了 避免 每 次 都 重复 以 上 获取 票 
据 的 过 程 ,再 引入 另 一 新 服务 器 , 称 为 票据 许可 服务 器 (Ticket-Granting Server, TGS)。 
TGS 向 已 经 过 AS 认证 的 客户 发 放 用 于 获取 服务 器 V 的 服务 的 票据 。 为 此 用 户 应 改 为 
首先 向 AS 获取 访问 TGS 的 票据 Ticketws ( 称 为 票据 许可 票据 ) 存 起 来 以 后 可 反复 使 用 。 
用 户 每 次 欲 获得 服务 器 V 的 服务 时 ,将 Tickete 出 示 给 TGS,TGS 再 向 用 户 发 放 获 得 服 
务 器 V 服务 的 许可 票据 Ticketv( 称 为 服务 许可 票据 ) 。 

现在 还 有 两 个 问题 需 加 以 解决 。 一 是 票据 许可 票据 Ticketw 的 有 效 期 限 。 如 果 有 效 
期 过 短 ,用户 就 需 频 繁 地 向 AS 输入 自己 的 口令 。 如 果 过 长 , 则 遭受 敌手 攻击 的 可 能 性 就 
会 增 大 。 政 手 通过 对 网 络 监听 以 获得 用 户 的 Ticketw, ,然后 冒充 合法 用 户 向 TGS 申请 获 
取 服 务 器 的 服务 。 类 似 地 ,敌手 也 可 截获 服务 许可 票据 Ticketv 。 所 以 ,除了 需 对 两 个 票 
据 都 加 上 合理 的 时 间 限 制 外 ,还 需 保 证 客户 持 有 的 票据 的 确 是 发 放 给 他 的 真实 的 票据 。 
第 二 个 需要 解决 的 问题 是 服务 器 也 应 该 向 用 户 证 明 自 己 ,否则 敌手 通过 破坏 网 络 结构 而 
使 用 户 发 往 服 务 器 的 消息 到 达 另 一 假冒 的 服务 器 ,假冒 的 服务 器 获取 用 户 的 信息 后 再 拒 
绝对 用 户 提 供 服 务 。 

以 上 是 Kerberos V4 认证 过 程 的 简要 描述 ,详细 过 程 分 为 以 下 3 个 阶段 , 共 6 步 ( 见 




































图 10-5)。 
Kerberos 
认证 服务 器 
(AS) 
票据 服务 器 
用 户 C (TGS) 
时 = 
(5) 
四 [了 服务 器 v 
图 10-5 Kerberos V4 的 认证 过 程 
认证 系统 中 的 符号 如 下 : 


C 一 客户 机 ,AS 一 认证 服务 器 ,V 一 服务 器 ,IDc 一 客户 机 用 户 的 身份 ,TGS 一 票据 许 
可 服务 器 ,IDv 一 服务 器 V 的 身份 ,IDe. 一 TGS 的 身份 ,ADc 一 C 的 网 络 地 址 ,Pc 一 C 上 用 
户 的 口令 ,TS 一 第 i 个 时 间 惟 ,lifetime; 一 第 i 个 有 效 期 限 , Kc 一 由 用 户口 令 导出 的 用 户 
和 AS 的 共享 密 钥 , Kc,e 一 C 与 TGS 的 共享 密 钥 , Kv 一 TGS 与 V 的 共享 密 钥 , Ks 
AS 与 TGS 的 共享 密 钥 , Kc.v 一 C 与 V 的 共享 密 钥 。 

协议 如 下 : 

第 工 阶段 (认证 服务 交换 ) 用 户 从 AS 获取 票据 许可 票据 : 

(1) C=>AS: Dc | Di, | Ts, 。 

(2) AS>C: ErkeLKce || IDs: | TS; || lifetimes | Ticketw J。 
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其 中 Tickete 王 Ex [Ke | IDe | ADc | IDe. || TS; | lifetime; J 

第 下 阶段 (票据 许可 服务 交换 ) 用 户 从 TGS 获取 服务 许可 票据 : 

(3) C>TGS: IDv | Tickete。 ‖ Authenticatorc 。 

(4) TGS™>C: Ex [KEcv | IDv | TS, || Ticketv] 

其 中 Ticketws=Ex, [Ke | IDe || ADe | IDss, || T'S; | lifetime;] 
Ticketv=Ex, [Ke.v | IDe | ADe | IDv | TS, | lifetime, J 
Authenticatorc = Ex.,.LIDc | ADc || TS;] 

第 肯 阶 段 (客户 机 -服务 器 的 认证 交换 ) 用 户 从 服务 器 获取 服务 : 

(5) C>V: Ticketv || Authenticatorv 

(6) V>C: Er ,LTSs+1] 


其 中 Ticketv = Ex, [Ke,v | IDc || ADc || IDv || TS, || lifetimes J 
Authenticatorc = Ex. , [IDe | ADe | TS;] 
具体 解释 如 下 : 


(1) 客户 机 向 AS 发 出 访问 TGS 的 请 求 ,请 求 中 的 时 间 戳 用 以 向 AS 表示 这 一 请 求 
是 新 的 。 

(2) AS 向 C 发 出 应 答 ,应 答 由 从 用 户 的 口令 导出 的 密 钥 Ke 加密, 使 得 只 有 C 能 解 
读 。 应 答 的 内 容 包括 C 与 TGS 会 话 所 使 用 的 密 钥 Kce。、 用 于 向 C 表示 TGS 身份 的 
IDe、 时 间 戳 TS、AS 向 C 发 放 的 票据 许可 票据 Tickete 以 及 这 一 票据 的 截止 期 限 
lifetimes 。 

(3) C 向 TGS 发 出 一 个 由 请 求 提 供 服务 的 服务 器 的 身份 .第 (2) 步 获得 的 票据 以 及 
一 个 认证 符 构 成 的 消息 。 其 中 认证 符 中 包括 C 上 用 户 的 身份 `C 的 地 址 及 一 个 时 间 戳 。 
与 票据 不 同 ,票据 可 重复 使 用 且 有 效 期 较 长 ,而 认证 符 只 能 使 用 一 次 且 有 效 期 很 短 。 
TGS 用 与 AS 共享 的 密 钥 K's, 解密 票据 后 知道 C 已 从 AS 处 得 到 与 自己 会 话 的 会 话 密 钥 
Kce， 票据 Ticketw, 在 这 里 的 含义 事实 上 是 “使 用 Kew 的 人 就 是 C"”。TGS 也 使 用 Kew 
解读 认证 符 , 并 将 认证 符 中 的 数据 与 票据 中 的 数据 加 以 比较 ,从 而 可 相信 票据 的 发 送 者 的 
确 是 票据 的 实际 持 有 者 ,这 时 认证 符 的 含义 实际 上 是 “在 时 间 TS;, C 使 用 Kc.w.”。 注意 ， 
这 时 的 票据 不 能 证 明 任何 人 的 身份 ,只 是 用 来 安全 地 分 配 密 钥 ,而 认证 符 则 是 用 来 证 明 客 
户 的 身份 。 因 为 认证 符 仅 能 被 使 用 一 次 且 其 有 效 期 限 很 短 ,所 以 可 防止 敌手 对 票据 和 认 
证 符 的 盗 取 使 用 。 

(4) TGS 向 C 应 答 的 消息 由 TGS 和 C 共享 的 会 话 密 钥 加 密 后 发 往 C, 应 答 中 的 内 
容 有 C 和 V 共享 的 会 话 密 钥 Kc,v, V 的 身份 IDv ,服务 许可 票据 Ticketv 及 票据 的 时 间 
袜 。 而 票据 中 也 包括 应 答 中 的 上 述 数 据 项 。 

(5) C 向 服务 器 V 发 出 服务 许可 票据 Ticketv 和 认证 符 Authenticatorc 。 服 务 器 解 
密 票据 后 得 到 会 话 密 钥 Kc.v, 并 由 Kc.v 解密 认证 符 , 以 验证 C 的 身份 。 

(6) 服务 器 V 向 C 证明 自 己 的 身份 。V 对 从 认证 符 得 到 的 时 间 戳 加 1, 再 由 与 C 共 
享 的 密 钥 加 密 后 发 给 C,C 解密 后 对 增加 的 时 间 惟 加 以 验证 ,从 而 相信 增加 时 间 戳 的 一 方 
的 确 是 V。 

整个 过 程 结 束 以 后 ,客户 机 和 服务 器 V 之 间 就 建立 起 了 共享 的 会 话 密 钥 ,以 后 可 用 
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来 加 密 通信 或 者 交换 新 的 会 话 密 钥 。 
1022 Kerberos 区 域 与 多 区 域 的 Kerberos 


Kerberos 的 一 个 完整 服务 范围 由 一 个 Kerberos 服务 器 、 多 个 客户 机 和 多 个 服务 器 
构成 ,并 且 满 足以 下 两 个 要 求 : 

(1) Kerberos 服务 器 必须 在 它 的 数据 库 中 存 有 所 有 用 户 的 ID 和 口令 的 哈 希 值 ,所 有 
用 户 都 已 向 Kerberos 服务 器 注册 。 

(2) Kerberos 服务 器 必须 与 每 一 服务 器 有 共享 的 密 钥 ,所 有 服务 器 都 已 向 Kerberos 
服务 器 注册 。 

满足 以 上 两 个 要 求 的 Kerberos 的 一 个 完整 服务 范围 称 为 Kerberos 的 一 个 区 域 。 网 
络 中 隶属 于 不 同行 政 机 构 的 客户 机 和 服务 器 则 构成 不 同 的 区 域 。 一 个 区 域 的 用 户 如 果 和 希 
望 得 到 另 一 区 域 中 的 服务 器 的 服务 , 则 还 需 满足 以 下 要 求 : 

(3) 每 个 区 域 的 Kerberos 服务 器 必须 和 其 他 区 域 的 服务 器 有 共享 的 密 钥 , 且 两 个 区 
域 的 Kerberos 服务 器 已 彼此 注册 。 

多 区 域 的 Kerberos 服务 还 要 求 在 两 个 区 域 间 , 第 一 个 区 域 的 Kerberos 服务 器 信任 
第 二 个 区 域 的 Kerberos 服务 器 对 本 区 域 中 用 户 的 认证 ,而 且 第 二 个 区 域 的 服务 器 也 应 信 
任 第 一 个 区 域 的 Kerberos 服务 器 。 

图 10-6 是 两 个 区 域 的 Kerberos 服务 示意 图 ,其 中 区 域 A 中 的 用 户 希 望 得 到 区 域 B 
中 服务 器 的 服务 ,为 此 用 户 通 过 自己 的 客户 机 首先 向 本 区 域 的 TGS 申请 一 个 访问 远程 
TGS( 即 区 域 B 中 的 TGS) 的 票据 许可 票据 ,然后 用 这 个 票据 许可 票据 向 远程 TGS 申请 
获得 服务 器 服务 的 服务 许可 票据 。 具 体 描述 如 下 : 
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图 10-6 ”两 个 区 域 的 Kerberos 服务 


(1) 客户 机 向 本 地 AS 申请 访问 本 区 域 TGS 的 票据 : 
C—>AS: IDc | ID || TS, 
(2) AS 向 客户 发 放 访问 本 区 域 TGS 的 票据 : 
AS>C: Er. [Kec.w, | IDe。 | TS; || lifetimes | Ticketw. J 
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(3) 客户 机 向 本 地 TGS 申请 访问 远程 TGS 的 票据 许可 票据 : 
C—>TGS: ID || Ticketws || Authenticatorc 
(4) TGS 向 客户 机 发 放 访问 远程 TGS 的 票据 许可 票据 : 
TGS 一 C: Er [Kcem | IDeee || TS || Ticketeee] 
(5) 客户 机 向 远程 TGS 申请 获得 服务 器 服务 的 服务 许可 票据 : 
C—>TGSem : ID || Ticketisren || Authenticatorc 
(6) 远程 TGS 向 客户 机 发 放 服 务 许可 票据 : 
TGS>C: Ex LKe,wem | ID | TS Ticketweo] 
(7) 客户 申请 远程 服务 器 的 服务 : 
C—> Vem: Ticketwe || Authenticatorc 
对 有 很 多 个 区 域 的 情况 来 说 ,以 上 方案 的 扩充 性 不 好 ,因为 如 果 有 N 个 区 域 , 则 必须 
有 NCN 一 2)/2 次 密 钥 交 换 才 可 使 每 个 Kerberos 区 域 和 其 他 所 有 的 Kerberos 区 域 能 够 
互 操作 ,所 以 当 N 很 大 时 ,方案 变 得 不 现实 。 


10.3 X.509 认证 业务 





X. 509 作为 定义 目录 业务 的 X.509 系列 的 一 个 组 成 部 分 ,是 由 ITU-T 建议 的 。 这 里 
所 说 的 目录 实际 上 是 维护 用 户 信 息 数据 库 的 服务 器 或 分 布 式 服务 器 集合 ,其 中 的 用 户 信 
息 包括 用 户 名 到 网 络 地 址 的 映射 和 用 户 的 其 他 属性 。X. 509 定义 了 X. 500 目录 向 用 户 
提供 认证 业务 的 一 个 框架 ,目录 的 作用 是 存放 用 户 的 公 钥 证 书 。X. 509 还 定义 了 基于 公 
钥 证 书 的 认证 协议 。 由 于 X. 509 中 定义 的 证 书 结构 和 认证 协议 已 被 广泛 应 用 于 S/MIME、 
IPSec、SSL/TLS 以 及 SET 等 诸多 应 用 过 程 ,因此 X. 509 已 成 为 一 个 重要 的 标准 。 

X. 509 的 基础 是 公 钥 密码 体制 和 数字 签名 ,但 其 中 未 特别 指明 使 用 哪 种 密码 体制 ( 建 
议 使 用 RSA) ,也 未 特别 指明 数字 签名 中 使 用 哪 种 哈 希 函数 。 


1031 证 书 


1 证 书 的 格式 

用 户 的 公 钥 证 书 是 X. 509 的 核心 问题 。 证 书 由 某 个 可 信 的 证 书 发 放 机 构 CA 建立 ， 
并 由 CA 或 用 户 自己 将 其 放 入 目录 中 ,以 供 其 他 用 户 方 便 地 访问 。 目 录 服 务 器 本 身 并 不 
负责 为 用 户 建立 公 钥 证 书 , 其 作用 仅仅 是 为 用 户 访问 公 钥 证 书 提供 方便 。 

X. 509 中 公 钥 证 书 的 一 般 格 式 如 图 10-7(a) 所 示 。 证 书 中 的 数据 域 有 : 

(1) 版 本 号 。 若 缺 省 , 则 为 第 1 版 ;如 果 证 书 中 需 有 发 放 者 唯一 识别 符 或 主体 唯一 识 
别 符 , 则 版 本 号 一 定 是 2; 如 果 有 一 个 或 多 个 扩充 项 , 则 版 本 号 为 3。 

(2) 顺序 号 。 为 一 整数 ,由 同一 CA 发 放 的 每 一 证 书 的 顺序 号 是 唯一 的 。 

(3) 签名 算法 识别 符 。 签 署 证 书 所 用 的 算法 及 相应 的 参数 。 

(4) 发 放 者 名 称 。 指 建立 和 签署 证 书 的 CA 名 称 。 

(5) 有 效 期 。 包 括 证 书 有 效 期 的 起 始 时 间 和 终止 时 间 两 个 数据 项 。 
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版 本 号 | 人 等 名 算法 | EE 
顺序 号 识别 符 参数 
签名 算法 /| ____- 四 全称 
识别 符 参数 | __ 本 次 修改 时 间 __ 
发 放 者 名 称 第 下 次 修改 时 间 
四 起 始 时 间 了 | 第 已 吊销 [| 顺序 号 
终止 时 间 如 | 全 证 书 吊销 日 其 
主体 名 称 版 : 
k 和 已 8 销 /| SS | 
A 2 到 证 日 
多 | | | | (人 算法 | 
发 放 者 唯一 识别 符 签名 4| 允 数 | 
主体 唯一 识别 符 1 签名 
扩充 域 1 
所 
有 
版 
() X.509 证 书 格式 (b) 证 书 吊销 列表 


图 10-7 X. 509 的 证 书 格式 和 证 书 吊销 列表 
(6) 主体 名 称 。 指 证 书 所 属 用 户 的 名 称 , 即 这 一 证 书 用 来 证 明 持 有 秘密 钥 用 户 的 相 


(7) 主体 的 公开 钥 信 息 。 包 括 主体 的 公开 钥 、 使 用 这 一 公开 钥 算 法 的 标识 符 及 相应 
的 参数 。 
(8) 发 放 者 唯一 识别 符 。 这 一 数据 项 是 可 选用 的 , 当 发 放 者 (CA) 的 名 称 被 重新 用 于 
其 他 实体 时 , 则 用 这 一 识别 符 来 唯一 标识 发 放 者 。 

(9) 主体 唯一 识别 符 。 这 一 数据 项 也 是 可 选用 的 ,当主 体 的 名 称 被 重新 用 于 其 他 实 
体 时 , 则 用 这 一 识别 符 来 唯一 地 标识 主体 。 

(10) 扩充 域 。 其 中 包括 一 个 或 多 个 扩充 的 数据 项 , 仅 在 第 3 版 中 使 用 。 

(11) 签名 。CA 用 自己 的 秘密 钥 对 上 述 域 的 哈 希 值 签名 的 结果 ,此 外 这 个 域 还 包括 
签名 算法 标识 符 。 

X. 509 中 使 用 以 下 表示 法 来 定义 证 书 : 

CA<AS=CA{V,SN,AI,CA,T, ,A,A,)} 

其 中 ,YX 仿 表 示 证 书 发 放 机 构 Y 向 用 户 X 发 放 的 证 书 ,Y{T) 表 示 I 链 接 上 YY 对 I 的 哈 
希 值 的 签名 。 


2 证 书 的 获取 
CA 为 用 户 产生 的 证 书 应 有 以 下 特性 : 
(1) 其 他 任 一 用 户 只 要 得 到 CA 的 公开 钥 , 就 能 由 此 得 到 CA 为 该 用 户 签署 的 公 
开 钥 。 
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(2) 除 CA 以 外 ,任何 其 他 人 都 不 能 以 不 被 察觉 的 方式 修改 证 书 的 内 容 。 

因为 证 书 是 不 可 伪造 的 ,因此 放 在 目录 后 无 须 对 目录 施加 特别 的 保护 措施 。 

如 果 所 有 用 户 都 由 同一 CA 为 自己 签署 证 书 , 则 这 一 CA 就 必须 取得 所 有 用 户 的 信 
任 。 用 户 证 书 除了 能 放 在 目录 中 以 供 他 人 访问 外 ,还 可 以 由 用 户 直接 发 给 其 他 用 户 。 用 
户 BB 得 到 用 户 A 的 证 书后 ,可 相信 用 A 的 公开 钥 加 密 的 消息 不 会 被 他 人 获悉 ,还 可 相信 
用 A 的 秘密 钥 签 署 的 消息 是 不 可 伪造 的 。 

如 果 用 户 数 量 极 多 , 则 仅 一 个 CA 负责 为 用 户 签署 证 书 就 有 点 不 现实 ,因为 每 一 用 户 
都 必须 以 绝对 安全 ( 指 完整 性 和 真实 性 ) 的 方式 得 到 CA 的 公开 钥 , 以 验证 CA 签署 的 证 
书 。 因 此 在 用 户 数目 极 多 的 情况 下 ,应 有 多 个 CA ,每 一 CA 仅 为 一 部 分 用 户 签署 证 书 。 

设 用 户 A 已 从 证 书 发 放 机 构 Xi 处 获取 了 公 钥 证 书 ,用 户 B 已 从 X* 处 获取 了 证 书 。 
如 果 A 不 知 X; 的 公开 钥 , 他 虽然 能 读 取 B 的 证 书 , 但 却 无 法 验证 X* 的 签名 ,因此 B 的 证 
书 对 A 来 说 是 没有 用 处 的 。 然 而 ,如 果 两 个 CA Xi 和 X, 彼 此 间 已 经 安全 地 交换 了 公开 
钥 , 则 A 可 通过 以 下 过 程 获取 B 的 公开 钥 

(1) A 从 目录 中 获取 由 Xi, 签署 的 X* 的 证 书 , 因 A 知道 Xi 的 公开 钥 , 所 以 能 验证 X。 
的 证 书 , 并 从 中 得 到 X* 的 公开 钥 。 

(2) A 再 从 目录 中 获取 由 Xs 签署 的 B 的 证 书 ,并 由 Xs 的 公开 钥 对 此 加 以 验证 ,然后 
从 中 得 到 B 的 公开 钥 。 

以 上 过 程 中 ,A 是 通过 一 个 证 书 链 来 获取 B 的 公开 钥 ,证 书 链 可 表示 为 

X1,<X,>X,.<BS> 
类 似 地 ,B 能 通过 相反 的 证 书 链 获 取 A 的 公开 钥 ,表示 为 
X:<XS>X <AS 
以 上 证 书 链 中 有 两 个 证 书 ,NN 个 证 书 的 证 书 链 可 表示 为 
XX,>X, <X,S…Xv BS> 

此 时 任意 两 个 相 邻 的 CA ”X; 和 Xiii 已 彼此 间 为 对 方 建立 了 证 书 ,对 每 一 CA 来 说 ， 
由 其 他 CA 为 这 一 CA 建立 的 所 有 证 书 都 应 存放 于 目录 中 ,并 使 用 户 知道 所 有 证 书 相 互 
之 间 的 连接 关系 ,从 而 可 获取 另 一 用 户 的 公 钥 证 书 。X. 509 建议 将 所 有 CA 以 层次 结构 
组 织 起 来 。 

图 10-8 是 X. 509 的 CA 层次 结构 的 一 个 例子 ,其 中 的 内 部 节点 表示 CA, 叶 节点 表示 





10-8 X. 509 的 层次 结构 
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用 户 。 用 户 A 可 从 目录 中 得 到 相应 的 证 书 以 建立 到 B 的 以 下 证 书 链 : 
X<WPWKVPEV<YPY<ZS>ZKBS 
并 通过 该 证 书 链 获取 B 的 公开 钥 。 
类 似 地 ,B 可 建立 以 下 证 书 链 以 获取 A 的 公开 钥 
Z<YP>Y<V>V<WEW<X>X<AS 


3. 证 书 的 吊销 

每 一 证 书 都 有 一 个 有 效 期 ,然而 有 些 证 书 还 未 到 截止 日 期 就 会 被 发 放 该 证 书 的 CA 
吊销 ,这 是 由 于 用 户 的 秘密 钥 有 可 能 已 被 泄露 ,或 者 该 用 户 不 再 由 该 CA 来 认证 ,或 者 CA 
为 该 用 户 签署 证 书 的 秘密 钥 有 可 能 已 泄露 。 为 此 ,每 一 CA 还 必须 维护 一 个 证 书 吊销 列 
表 (Certificate Revocation List,CRL) , 见 图 10-7(b) ,其 中 存放 所 有 未 到 期 而 被 提前 吊销 
的 证 书 ,包括 该 CA 发 放 给 用 户 和 发 放 给 其 他 CA 的 证 书 。CRL 还 必须 经 该 CA 签名 , 然 
后 存放 于 目录 以 供 他 人 查询 。 

CRL 中 的 数据 域 包括 发 放 者 CA 的 名 称 、 建 立 CRL 的 日 期 .计划 公布 下 一 CRL 的 日 
期 以 及 每 一 被 吊销 的 证 书 数据 域 ,而 被 吊销 的 证 书 数据 域 包括 该 证 书 的 顺序 号 和 被 吊销 
的 日 期 。 因 为 对 一 个 CA 来 说 ,他 发 放 的 每 一 证 书 的 顺序 号 是 唯一 的 ,所 以 可 用 顺序 号 来 
识别 每 一 证 书 。 

所 以 每 一 用 户 收 到 他 人 消息 中 的 证 书 时 ,都 必须 通过 目录 检查 这 一 证 书 是 否 已 被 吊 
销 。 为 避免 搜索 目录 引起 的 延迟 以 及 由 此 而 增加 的 费用 ,用 户 自己 也 可 维护 一 个 有 效 证 
书 和 被 吊销 证 书 的 局 部 缓存 区 。 


1032 认证 过 程 


X. 509 有 3 种 认证 过 程 以 适应 不 同 的 应 用 环境 。3 种 认证 过 程 都 使 用 公 钥 签名 技 
术 ,并 假定 通信 双方 都 可 从 目录 服务 器 获取 对 方 的 公 角 证书, 或 对 方 最 初 发 来 的 消息 中 包 
括 的 公 钥 证 书 , 即 假定 通信 双方 都 知道 对 方 的 公 钥 。3 种 认证 过 程 如 图 10-9 所 示 。 


1. 单 向 认证 

单 向 认证 指 用户 A 将 消息 发 往 B, 以 向 了 证 明 : A 的 身份 ,消息 是 由 A 产生 的 ,消息 
的 意欲 接收 者 是 B, 消 息 的 完整 性 和 新 鲜 性 。 

为 实现 单 向 认证 ,A 发 往 B 的 消息 应 由 A 的 秘密 钥 签 署 的 若干 数据 项 组 成 。 数 据 项 
中 应 至 少 包 括 时 间 截 和 A、 一 次 性 随机 数 ra。、B 的 身份 ,其 中 时 间 戳 又 有 消息 的 产生 时 间 
(可 选项 ) 和 截止 时 间 , 以 处 理 消息 传送 过 程 中 可 能 出 现 的 延迟 ,一 次 性 随机 数 用 于 防止 重 
放 攻 击 。ra 在 该 消息 未 到 截止 时 间 以 前 应 是 这 一 消息 唯一 所 有 的 ,因此 也 可 在 这 一 消息 
的 截止 时 间 以 前 一 直 存 有 ra， 以 拒绝 具有 相同 ra 的 其 他 消息 。 

如 果 仅 为 了 单纯 认证 , 则 A 发 往 B 的 上 述 消息 就 可 作为 A 提交 给 B 的 凭证 。 如 果 
不 单纯 为 了 认证 , 则 A 用 自己 的 秘密 钥 签 署 的 数据 项 还 可 包括 其 他 信息 sgnData, 将 这 个 
信息 也 包括 在 A 签署 的 数据 项 中 可 保证 该 信息 的 真实 性 和 完整 性 。 数 据 项 中 还 可 包括 
由 B 的 公开 钥 PKs 加 密 的 双方 意欲 建立 的 会 话 密 钥 Kas。 
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1. Af ra B, senData, En, [Kasl} 
人 单 向 认证 


1. Afin rw B, senData, Epk, [Kan]} 


2. Bf{ip, rp, A, ra, sgnData, Epk, [KeA]} 
(b) 双向 认证 


1. A {in rn, B, senData, Epk, [Kan]} 


一 B 
3.Atre} 


(©) 三 向 认证 
10-9 X. 509 的 认证 过 程 











2 双向 认证 

双向 认证 是 在 上 述 单 向 认证 的 基础 上 ,B 再 向 A 作出 应 答 ,以 证 明 : B 的 身份 ,应 答 
消息 是 由 也 产生 的 ,应 答 的 意欲 接收 者 是 A, 应 答 消 息 是 完整 的 和 新 鲜 的 。 

应 答 消 息 中 包括 由 A 发 来 的 一 次 性 随机 数 ra。( 以 使 应 答 消息 有 效 ), 由 B 产生 的 时 
间 惟 ts 和 一 次 性 随机 数 rs。 与 单 向 认证 类 似 , 应 答 消 息 中 也 可 包括 其 他 附加 信息 和 由 A 
的 公开 钥 加 密 的 会 话 密 钥 。 

3 三 向 认证 

在 上 述 双 向 认证 完成 后 ,A 再 对 从 B 发 来 的 一 次 性 随机 数 签名 后 发 往 B, 即 构成 第 三 
向 认证 。 三 向 认证 的 目的 是 双方 将 收 到 的 对 方 发 来 的 一 次 性 随机 数 又 都 返回 给 对 方 , 因 
此 双方 不 需 检查 时 间 戳 而 只 需 检 查 对 方 的 一 次 性 随机 数 即 可 检查 出 是 否 有 重 放 攻 击 。 在 
通信 双方 无 法 建立 时 钟 同步 时 ,就 需 使 用 这 种 方法 。 


104 PGP 





PGP(Pretty Good Privacy) 是 目前 最 为 普遍 使 用 的 一 种 电子 邮件 系统 。 该 系统 能 为 
电子 邮件 和 文件 存储 应 用 过 程 提供 认证 业务 和 保密 业务 。 
本 节 分 别 介绍 PGP 的 运行 方式 、 密 钥 的 产生 和 存储 以 及 公 钥 的 管理 。 


104.1 运行 方式 


PGP 有 5 种 业务 : 认证 性 \ 保 密 性 、 压 缩 \ 电 子 邮 件 的 兼容 性 、 分 段 。 表 10-1 是 这 5 
种 业务 的 总 结 。 其 中 CAST-128 是 一 种 分 组 密码 ,算法 具有 传统 Feistel 网 络 结构 ,采用 
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16 轮 迭 代 , 明 文 分 组 长 度 为 64 比特 , 密 钥 长 以 8 比特 为 增 量 ,从 40 比特 到 128 比特 
可 变 。 
表 10-1 PGP 的 业务 
功 能 所 用 算法 描述 


发 方 使 用 SHA 产生 消息 摘要 ,再 用 自己 的 秘密 钥 按 DSS 算法 
或 RSA 算法 对 消息 摘要 签名 


CAST 或 IDEA 或 三 个 密 | 消 息 由 用 户 产生 的 一 次 性 会 话 密 钥 按 CAST-128 或 IDEA 或 
消息 加 密 | 钥 的 三 重 DES/ElGamal| 三 重 DES 加 密 ,会 话 密 钥 用 收 方 的 公开 钥 按 ElGamal 或 RSA 





数字 签名 |DSS/SHA 或 RSA/SHA 











或 RSA 加 密 
压缩 ZIP 消息 经 ZIP 算法 压缩 后 存储 或 传送 
电子 邮件 基数 64 变换 使 用 基数 64 变换 将 加 密 的 消息 转换 为 ASCII 字符 串 , 以 提供 
的 兼容 性 电子 邮件 应 用 系统 的 透明 性 











分 段 对 消息 进行 分 段 和 重组 以 适应 PGP 对 消息 最 大 长 度 的 限制 


图 10-10 是 PGP 的 认证 业务 和 保密 业务 示意 图 。 其 中 , Ks 为 分 组 加 密 算法 所 用 的 
会 话 密 钥 ;EC 和 DC 分 别 为 分 组 加 密 算法 和 解密 算法 ;EP 和 DP 分 别 为 公 钥 加 密 算法 和 
解密 算法 ;SKA 和 PKA 分 别 为 发 方 的 秘密 钥 和 公开 钥 ;SKs 和 PKs 分 别 为 收 方 的 秘密 钥 
和 公开 钥 ;H 表示 哈 希 函数 ; ‖ 表示 链接 ;Z 为 ZIP 压缩 算法 ;R64 表示 基数 64 变换 。 


1. 认证 业务 

图 10-10(a) 表 示 PGP 中 通过 数字 签名 提供 认证 的 过 程 ,分 为 5 步 : 

(1) 发 方 产生 消息 M。 

(2) 用 SHA 产生 160 比特 长 的 消息 摘要 HCM)。 

(3) 发 方 用 自己 的 秘密 钥 SKA 按 RSA 算法 对 昌 (M) 加密 ,并 将 加 密 结果 
EPsr, LH(M)] 与 M 链接 后 发 送 。 

(4) 收 方 用 发 方 的 公开 钥 对 EPsr、 [LHCMD)] 解密 得 HCMD) 。 

(5) 收 方 对 收 到 的 M 计算 消息 摘要 ,并 与 (4) 中 的 互 (MD) 比 较 。 如 果 一 致 , 则 认为 M 
是 真实 的 。 

过 程 中 结合 使 用 了 SHA 和 RSA 算法 ,类 似 地 也 可 结合 使 用 DSS 算法 和 SHA 算法 。 

以 上 过 程 将 消息 的 签名 与 消息 链接 后 一 起 发 送 或 存储 ,但 在 有 些 情况 中 却 将 消息 的 
签名 与 消息 分 开发 送 或 存储 。 例 如 ,将 可 执行 程序 的 签名 分 开 存 储 , 以 后 可 用 来 检查 程序 
是 否 有 病毒 感染 。 再 如 ,多 人 签署 同一 文件 (如 法 律 合同 ) ,每 人 的 签名 都 应 与 被 签 文件 分 
开 存 放 ; 和 否则 ,第 一 个 人 签 完 字 后 将 消息 与 签名 链接 在 一 起 ,第 二 人 签名 时 既 要 签 消息 ,又 
要 签 第 一 人 的 签名 ,因此 就 形成 了 签名 的 嵌 套 。 


2 保密 业务 
PGP 的 另 一 业务 是 为 传输 或 存储 的 文件 提供 加 密 的 保密 性 业务 。 加 密 算法 用 
CAST-128, 也 可 用 IDEA 或 三 重 DES, 运 行 模式 为 64 比特 CFB 模式 。 加 密 算法 的 密 钥 
为 一 次 性 的 , 即 每 加 密 一 个 消息 时 都 需 产 生 一 个 新 的 密 钥 , 称 为 一 次 性 会 话 密 钥 , 且 新 密 
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(©) 既 有 保密 性 又 有 认证 性 
10-10 PGP 的 认证 业务 和 保密 业务 


钥 也 需 用 接收 方 的 公开 钥 加 密 后 与 消息 一 起 发 往 收 方 , 整 个 过 程 如 下 [ 见 图 10-10(b)]: 

(1) 发 送 方 产生 消息 M 及 一 次 性 会 话 密 钥 Ks。 

(2) 用 密 钥 Ks 按 CAST-128( 或 IDEA 或 3DES) 加 密 M。 

(3) 用 接收 方 的 公开 钥 PKs 按 RSA 算法 加 密 一 次 性 会 话 密 钥 Ks, 将 (2)、(3) 中 的 
两 个 加 密 结果 链接 起 来 发 往 收 方 。 

(4) 接收 方 用 自己 的 秘密 钥 按 RSA 算法 恢复 一 次 性 会 话 密 钥 。 

(5) 接收 方 用 一 次 性 会 话 密 钥 恢 复发 方 发 来 的 消息 。 

PGP 还 为 加 密 一 次 性 会 话 密 钥 提供 了 ElIGamal 算法 以 供 选用 。 

以 上 方案 有 以 下 几 个 优点 : 第 一 ,由 于 分 组 加 密 速度 远 快 于 公 钥 加 密 速度 ,因此 使 用 
分 组 加 密 算法 加 密 消息 、 使 用 公 钥 加 密 算法 加 密 一 次 性 会 话 密 钥 可 比 单纯 使 用 公 钥 算法 
大 大 地 减少 加 密 时 间 。 第 二 ,因为 会 话 密 钥 是 一 次 性 的 ,因此 没有 必要 使 用 会 话 密 钥 的 交 
换 协 议 。 同 时 ,由 于 电子 邮件 的 存储 转发 特性 ,也 无 法 使 用 握手 交换 协议 。 本 方案 使 用 公 
钥 加 密 算法 来 传送 一 次 性 会 话 密 钥 ,保证 了 仅 接 收 方 能 得 到 。 第 三 ,一 次 性 会 话 密 钥 的 使 
用 进一步 加 强 了 本 来 就 很 强 的 分 组 加 密 算法 ,因此 只 要 公 钥 加 密 算法 是 安全 的 ,整个 方案 
就 是 安全 的 。PGP 可 允许 用 户 选 择 的 密 钥 长 度 范 围 为 768 一 3072 比特 ,而 若 使 用 DSS， 
则 其 密 钥 限制 为 1024 比特 。 
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3. 保密 性 与 认证 性 

如 果 对 同一 消息 同时 提供 保密 性 与 认证 性 ,可 使 用 图 10-10(c) 的 方式 。 发 送 方 首先 
用 自己 的 秘密 钥 对 消息 签名 ,将 明文 消息 和 签名 链接 在 一 起 ,再 使 用 一 次 性 会 话 密 钥 按 
CAST-128( 或 IDEA 或 3DES) 对 其 加 密 , 同 时 用 ElGamal 算法 对 会 话 密 钥 加 密 , 最 后 将 
两 个 加 密 结果 一 同 发 往 接收 方 。 在 这 一 过 程 中 , 先 对 消息 签名 再 对 签名 加 密 。 这 一 顺序 
优 于 先 加 密 再 对 加 密 结果 签名 。 这 是 因为 将 签名 与 明文 消息 在 一 起 存储 比 与 密 文 消息 在 
一 起 存储 会 带 来 很 多 方便 ,同时 也 给 第 三 方 对 签名 的 验证 带 来 方便 。 


4 压缩 
图 10-10 中 2 表示 ZIP 压缩 算法 , Z” 表示 解压 算法 。 压 缩 的 目的 是 为 邮件 的 传输 
或 文件 的 存储 节省 空间 。 压 缩 运 算 的 位 置 是 在 签名 以 后 ,加 密 以 前 ,这 是 因为 : 
(1) 压缩 前 产生 签名 的 原因 有 二 。 
。 对 不 压缩 的 消息 签名 ,可 便于 以 后 对 签名 的 验证 。 如 果 对 压缩 后 的 消息 签名 ， 
则 为 了 以 后 对 签名 的 验证 , 需 存储 压缩 后 的 消息 或 在 验证 签名 时 对 消息 重 做 
。 即使 用 户 愿 意 对 压缩 后 的 消息 签名 且 愿 意 验 证 时 对 原 消息 重 做 压缩 ,实现 起 来 也 
极为 困难 ,这 是 因为 ZIP 压缩 算法 是 不 确定 性 的 ,该 算法 在 不 同 的 实现 中 会 由 于 
在 运行 速度 和 压缩 率 之 间 产 生 不 同 的 折 中 ,因而 产生 出 不 同 的 压缩 结果 (虽然 解 
压 结果 相同 ) 。 
(2) 对 消息 压缩 后 再 进行 加 密 可 加 强 其 安全 性 ,这 是 因为 消息 压缩 后 比 压 缩 前 的 宛 
余 度 要 小 ,因此 会 使 得 密码 分 析 更 为 困难 。 


5. 电子 邮件 的 兼容 性 

PGP 在 如 图 10-10 所 示 的 3 种 业务 中 ,传输 的 消息 都 有 被 加 密 的 部 分 (也 许 是 所 有 部 
分 ) ,这 些 部 分 构成 了 任意 8 比特 位 组 串 。 然 而 许多 电子 邮件 系统 只 允许 使 用 ASCII 文 
本 串 ,为 此 PGP 提供 了 将 8 比特 位 串 转换 为 可 打印 的 ASCII 字符 的 服务 。 转 换 方法 是 使 
用 基数 64 变换 ,将 每 3 个 8 比特 位 组 的 二 元 数据 映射 为 4 个 ASCII 字符 。 基 数 64 变换 
可 将 被 变换 的 消息 扩展 33%, 但 由 于 扩展 是 对 会 话 密 钥 和 消息 的 签名 部 分 进行 ,而 这 一 
部 分 又 是 比较 紧凑 的 ,所 以 对 明文 消息 的 压缩 足以 弥补 基数 64 变换 所 引起 的 扩展 。 有 实 
例 显示 ,ZIP 的 平均 压缩 率 大 约 为 2.0, 因 此 如 果 不 考 虑 相对 小 的 签名 和 密 钥 部 分 ,对 长 度 
为 X 的 文件 来 说 ,压缩 和 扩展 的 总 体 效果 为 1.33X0.5XX= 一 0.665XX, 即 总 体 上 有 三 
分 之 一 的 压缩 。 

PGP 变换 具有 “盲目 性 ”, 即 不 管 输入 变换 的 消息 内 容 是 否 是 ASCII 文件 ,都 将 变换 
为 基数 64 格式 。 因 此 在 图 10-10 所 示 的 仅 提 供认 证 的 服务 中 ,对 消息 及 其 签名 进行 基数 
64 变换 ,变换 后 的 结果 对 不 经 意 的 观察 者 来 说 是 不 可 读 的 ,从 而 可 提供 一 定 程度 的 保密 
性 。 作 为 一 种 配置 选择 ,PGP 可 以 只 将 消息 的 签名 部 分 转换 为 基数 64 格式 ,从 而 使 得 接 
收 方 不 使 用 PGP 就 可 阅读 消息 ,但 对 签名 的 验证 仍然 需要 使 用 PGP。 

图 10-11 分 别 是 发 送 方 和 接收 方 对 消息 的 处 理 过 程 框图 ,发 方 首先 对 消息 的 哈 希 值 
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签名 (如 果 需 要 ) ,然后 明文 消息 及 其 签名 (如 果 有 ) 再 经 压缩 函数 压缩 。 如 果 要 求 保密 性 ， 
则 用 一 次 性 会 话 密 钥 按 分 组 加 密 算法 加 密 压缩 结果 ,同时 用 公 钥 加 密 算法 加 密 一 次 性 会 
话 密 钥 。 将 两 个 加 密 结果 链接 在 一 起 后 ,再 经 基数 64 变换 转换 为 基数 64 格式 。 














六 "文件 基数 64 反 变换 
XR64![X] 






























产生 签名 
XX 一 签名 IX 











Ks DsxslEprolKs]]; 
XD [ER [XN] 















































XEpkslKs]l| 
ED 





























基数 64 变 换 
XR64LX] 








(a) 发 送 方 处 理 框图 (b) 接收 方 处 理 框图 
10-11 PGP 的 消息 处 理 框 图 


收 方 首 先 将 接收 到 的 结果 由 基数 64 格式 转换 为 二 元 数字 串 。 然 后 ,如 果 消 息 是 密 
文 , 则 恢复 一 次 性 会 话 密 钥 ,由 一 次 性 会 话 密 钥 恢复 加 密 的 消息 ,并 对 之 解压 缩 。 如 果 消 
息 还 经 过 签名 , 则 从 上 一 步 恢复 的 消息 中 取出 消息 的 哈 希 值 , 并 与 自己 计算 的 消息 的 哈 希 
值 进行 比较 。 


6. 分 段 与 重组 

电子 邮件 通常 都 对 最 大 可 用 的 消息 长 度 有 所 限制 ,如 果 消 息 长 度 大 于 最 大 可 用 长 度 ， 
则 将 消息 分 为 若干 子 段 并 分 别 发 送 。 分 段 是 在 图 10-11(a) 基 数 64 变换 以 后 进行 的 ,因此 
会 话 密 钥 报头 和 签名 报头 仅 在 第 一 子 段 的 开头 处 出 现 一 次 。 接 收 方 在 图 10-11(b) 的 处 
理 过 程 以 前 ,首先 去 掉 第 一 子 段 开 头 处 的 报头 再 将 各 子 段 拼 装 在 一 起 。 


1042 密 钥 和 密 钥 环 


PGP 所 用 的 密 钥 有 4 类 : 分 组 加 密 算法 所 用 的 一 次 性 会 话 密 钥 和 基于 密码 短语 的 密 
钥 , 公 钥 加 密 算法 所 用 的 公开 钥 和 秘密 钥 。 为 此 PGP 必须 满足 以 下 3 个 要 求 : 
”能 够 产生 不 可 猜测 的 会 话 密 钥 。 
。 用 户 可 有 多 个 公开 钥 - 秘 密 钥 对 ,这 是 因为 用 户 可 能 希望 随时 更 换 自己 的 密 钥 
对 , 另 一 方面 用 户 可 能 希望 在 同一 时 间 和 多 个 通信 方 同时 通信 时 分 别 使 用 不 同 
的 密 钥 对 ,或 者 用 户 可 能 希望 通过 限制 一 个 密 钥 加 密 的 内 容 的 数量 来 增加 安全 
性 。 所 以 用 户 和 他 的 密 钥 对 不 是 一 一 对 应 的 关系 ,必须 采取 某 一 方式 对 密 钥 加 
以 识别 。 
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。PGP 的 每 一 用 户 都 必须 对 存储 自己 密 钥 对 的 文件 加 以 维护 ,同时 还 需 对 存储 所 有 
通信 对 方 公 钥 的 文件 加 以 维护 。 


1. 会 话 密 钥 的 产生 

会 话 密 钥 的 使 用 是 一 次 性 的 ,其 中 CAST-128 和 IDEA 所 用 会 话 密 钥 长 为 128 比特 ， 
三 重 DES 所 用 的 会 话 密 钥 长 为 168 比特 。 下 面 以 CAST-128 为 例 介绍 其 密 钥 的 生成 。 

产生 CAST-128 密 钥 的 随机 数 产 生 器 仍 由 CAST-128 加 密 算法 构成 (构成 方式 略 )， 
其 输入 为 一 个 128 比特 的 密 钥 和 两 个 64 比特 的 明文 ,采用 CFB 模式 ,对 两 个 明文 分 组 加 
密 , 再 将 得 到 的 两 个 64 比特 密 文 分 组 链接 在 一 起 即 形成 所 要 产生 的 128 比特 密 钥 。 其 中 
两 个 64 比特 ( 即 128 比特 ) 的 明文 分 组 由 用 户 随机 地 从 键盘 输入 而 得 ,将 输入 的 一 个 字符 
表示 成 8 比特 的 数值 , 共 随 机 输入 12 个 字符 ,得 96 比特 长 的 数值 , 剩 下 32 比特 则 用 来 表 
示 键 盘 输 入 所 用 的 时 间 。 随 机 数 产生 器 输入 的 128 比特 长 的 密 钥 则 取 为 它 上 一 次 输出 的 
128 比特 长 的 会 话 密 钥 。 


2 密 钥 识别 符 

如 前 所 述 ,PGP 在 对 消息 加 密 的 同时 ,还 需 用 接收 方 的 公开 钥 对 一 次 性 会 话 密 钥 加 
密 , 从 而 使 得 只 有 接收 方 能 恢复 会 话 密 钥 ,进而 恢复 加 密 的 消息 。 如 果 接 收 方 只 有 一 个 密 
钥 对 ( 即 公开 钥 - 秘 密 钥 对 ) ,就 可 直接 恢复 会 话 密 钥 。 然 而 ,接收 方 通常 都 有 多 个 密 钥 对 ， 
他 怎么 知道 会 话 密 钥 是 用 他 的 哪个 公开 钥 加 密 的 ? 一 种 解决 办 法 是 发 送 方 将 所 用 的 接收 
方 的 公开 钥 一 起 发 给 接收 方 , 但 这 种 方法 对 空间 的 浪费 太 多 ,因为 RSA 的 公开 钥 其 长 度 
可 达 数 百 位 十 进 制 数 。 另 一 种 办 法 是 对 每 一 用 户 的 每 一 公开 钥 都 指定 一 个 唯一 的 识别 
符 , 称 为 密 钥 ID, 因 此 发 送 方 用 接收 方 的 哪个 公开 钥 就 将 这 个 公开 钥 的 ID 发 给 接收 方 。 
但 使 用 这 种 方法 必须 考虑 密 钥 ID 的 存储 和 管理 , 且 收 发 双方 都 必须 能 够 从 密 钥 ID 得 到 
对 应 的 公开 钥 , 从 而 引起 不 必要 的 负担 。PGP 采用 的 方法 是 用 公开 钥 中 64 个 最 低 有 效 
位 表示 该 密 钥 的 ID, 即 公开 钥 PKA 的 ID 是 PKA mod 2% 。 由 于 64 位 已 足够 长 ,因而 不 
同 密 钥 的 ID 相 重 的 概率 非常 小 。 

PGP 在 数字 签名 时 也 需 对 密 钥 加 上 识别 符 , 这 是 因为 发 送 方 签名 时 可 能 有 很 多 秘密 
钥 可 供 使 用 ,接收 方 必须 知道 使 用 发 送 方 的 哪 一 个 公开 钥 来 验证 数字 签名 。PGP 用 签名 
中 的 64 比特 来 表示 相应 公开 钥 的 ID。 


3.PGP 的 消息 格式 

图 10-12 表示 PGP 中 发 送 方 A 发 往 接收 方 B 的 消息 格式 。 其 中 , Err, 表示 用 接收 
方 B 的 公开 钥 加 密 ; Esk、 表示 用 发 送 方 A 的 秘密 钥 加 密 ( 即 A 的 签名 ); Exs 表示 用 一 次 
性 会 话 密 钥 Ks 的 加 密 ;ZIP 是 压缩 算法 ;R64 是 基数 64 变换 。 

PGP 的 消息 由 3 部 分 组 成 : 消息 、 消 息 的 签名 (可 选 ) ,会 话 密 钥 (可 选 )。 

消息 部 分 包括 被 存储 或 被 发 送 的 实际 数据 ,文件 名 以 及 时 间 戳 。 

签名 部 分 包括 以 下 成 分 : 

(1) 时 间 截 。 产 生 签名 的 时 间 。 

(2) 消息 摘要 。 消 息 摘要 是 由 SHA 对 签名 的 时 间 截 链接 上 消息 本 身后 求 得 的 160 
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上 | 接收 方 公开 钥 PK 的 ID | 








签名 消息 摘要 的 前 两 个 
8 比特 位 组 ZIP |Ex |R64 
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比特 输出 ,再 由 发 送 方 用 秘密 钥 签名 。 求 消息 摘要 时 以 签名 时 间 戳 作为 输入 的 一 部 分 的 
目的 是 防止 重 放 攻击 ,而 不 以 消息 的 文件 名 和 产生 消息 的 时 间 戳 作为 输入 的 一 部 分 的 目 
的 是 使 得 对 无 报头 域 的 实际 数据 计算 的 签名 与 作为 前 组 而 附加 在 消息 前 的 签名 完全 
一 样 。 

(3) 消息 摘要 的 前 两 个 8 比特 位 组 : 接收 方 用 于 与 解密 消息 摘要 后 得 到 的 前 两 个 8 
比特 位 组 进行 比较 ,以 确定 自己 在 验证 发 送 方 的 数字 签名 时 是 否 正确 地 使 用 了 发 送 方 的 
公开 钥 。 消 息 摘要 的 前 两 个 8 比特 位 组 ,也 可 用 作 消 息 的 16 比特 帧 校 验 序列 。 

(4) 发 送 方 公开 钥 的 ID。 用 于 标识 解密 消息 摘要 ( 即 验证 签名 ) 的 公开 钥 , 相 应 地 也 
标识 了 签名 的 秘密 钥 。 

消息 部 分 和 签名 部 分 经 ZIP 算法 压缩 后 再 用 会 话 密 钥 加 密 。 

会 话 密 钥 部 分 包括 会 话 密 钥 和 接收 方 公开 钥 标 识 符 ,标识 符 用 于 识别 发 送 方 加 密会 
话 密 钥 时 使 用 接收 方 的 哪个 公开 钥 。 

发 送 消息 前 ,对 整个 消息 作 基 数 64 变换 。 


4. 密 钥 环 

为 了 有 效 存 储 、 组 织 密 钥 ,同时 也 为 了 便于 用 户 的 使 用 ,PGP 为 每 个 节点 ( 即 用 户 ) 都 
提供 了 两 个 表 型 数据 结构 : 一 个 用 于 存储 用 户 自 己 的 密 钥 对 ( 即 公 开 钥 /秘密 钥 ) , 另 一 个 
用 于 存储 该 用 户 所 知道 的 其 他 各 用 户 的 公开 钥 。 这 两 个 数据 结构 分 别称 为 秘密 钥 环 和 公 
钥 环 ,如 表 10-2 所 示 ,其 中 带 * 的 字段 可 作为 标识 字段 。 

在 秘密 钥 环 中 ,每 行 表 示 该 用 户 的 一 个 密 钥 对 ,其 数据 项 有 : 产生 密 钥 对 的 时 间 戳 、 
密 钥 ID 公开 钥 、 被 加 密 的 秘密 钥 ,用户 ID, 其 中 密 钥 ID 和 用 户 ID 可 作为 该 行 的 标识 符 。 
用 户 ID 可 用 用 户 的 邮件 地 址 ,用 户 也 可 以 为 一 个 密 钥 对 使 用 多 个 不 同 的 用 户 ID ,还 可 以 
在 不 同 的 密 钥 对 中 使 用 相同 的 用 户 ID。 

秘密 钥 环 由 用 户 自 己 存储 , 仅 供 用 户 自己 使 用 ,而 且 为 使 秘密 钥 尽 可 能 地 安全 ,秘密 
钥 是 通过 CAST-128( 或 IDEA 或 3DES) 加 密 后 以 密 文 形式 存储 ,加 密 过 程 为 : 用 户 首先 
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表 10-2 密 钥 环 
(a) 秘密 钥 环 
时 间 截 密 钥 ID* 公开 钥 被 加 密 的 秘密 钥 用 户 ID 
x PK, mod 2° PK, Eutn [SK] 用 户 





(b) 公 钥 环 





时 间 戳 | 密 钥 ID” | 公开 钥 | 拥有 者 可 信 字 段 | 用 户 ID”| 密 钥 合 法 性 字段 | 签名 | 签名 可 信 字 段 


trust_flag; trust_flag; 





选择 一 个 密码 短语 作为 SHA 的 输入 ,产生 出 一 个 160 比特 的 哈 希 值 后 销毁 通行 字 短 语 ， 
再 用 哈 希 值 的 128 比特 作为 密 钥 按 CAST-128 对 秘密 钥 加 密 , 加 密 完成 后 再 销毁 哈 希 值 。 
以 后 车 要 取出 秘密 钥 , 必 须 重新 输入 密码 短语 ,PGP 产生 出 通行 字 的 哈 希 值 ,并 以 此 哈 希 
值 为 秘密 钥 按 CAST-128 解密 被 加 密 的 秘密 钥 。 

从 加 密 秘密 钥 的 过 程 可 见 ,秘密 钥 的 安全 性 取决 于 所 用 密码 的 安全 性 ,所 以 用 户 使 用 
的 密码 应 是 易于 自己 记 住 的 但 又 是 不 易 被 他 人 猜 出 的 。 

公 钥 环 中 每 行 存储 的 是 该 用 户 所 知道 的 其 他 用 户 的 公开 钥 , 其 数据 项 包括 : 时 间 戳 
(表示 这 一 行 产 生 的 时 间 )、 密 钥 ID( 指 这 一 行 的 公开 钥 ) 、 公 开 钥 、 用 户 ID( 指 该 公开 钥 的 
属 主 ) ,其 中 密 钥 ID 和 用 户 ID 可 作为 该 行 的 标识 符 , 还 有 其 他 几 个 数据 项 以 后 再 介绍 。 

下 面 介绍 消息 传输 和 接收 时 密 钥 环 是 如 何 使 用 的 。 为 简单 起 见 , 下 面 的 过 程 中 省 略 
了 压缩 过 程 和 基数 64 变换 过 程 。 

假定 消息 既 要 被 签名 ,也 要 被 加 密 , 则 发 送 方 A 需 执 行 以 下 过 程 ( 见 图 10-13, 其 中 
RNG 是 随机 数 产生 器 ,其 他 符号 和 图 10-10 相同 ): 

1) 签署 消息 

(1) PGP 使 用 A 的 用 户 ID 作为 索引 ( 即 关键 字 ) 从 A 的 秘密 钥 环 中 取出 A 的 秘密 
钥 。 如 果 用 户 ID 为 默认 值 , 则 从 秘密 钥 环 中 取出 第 一 个 秘密 钥 。 

(2) PGP 提示 用 户 输入 密码 短语 用 于 恢复 被 加 密 的 秘密 钥 。 

(3) 由 A 的 秘密 钥 产 生 消息 的 签名 。 

2) 加 密 消 息 

(1) PGP 产生 一 个 会 话 密 钥 ,并 由 会 话 密 钥 对 消息 及 签名 加 密 。 

(2) PGP 使 用 接收 方 B 的 用 户 ID 作为 关键 字 , 从 公 钥 环 中 取出 B 的 公开 钥 。 

(3) PGP 用 B 的 公开 钥 加 密会 话 密 钥 以 形成 发 送 消 息 中 的 会 话 密 钥 部 分 。 

接收 方 B 执行 以 下 过 程 ( 见 图 10-14) : 

1) 解密 消息 

(1) PGP 从 接收 到 的 消息 中 的 会 话 密 钥 部 分 取出 接收 方 B 的 密 钥 ID ,并 以 此 作为 关 
键 字 从 B 的 秘密 钥 环 中 取出 相应 的 被 加 密 的 秘密 钥 。 
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(2) PGP 提示 B 输入 通行 字 短 语 以 恢复 秘密 钥 。 
(3) PGP 用 秘密 钥 恢 复出 会 话 密 钥 , 并 进而 解密 消息 。 


2) 认证 消息 


(1) PGP 从 收 到 的 消息 中 的 签名 部 分 取出 发 送 方 A 的 密 钥 ID, 并 以 此 作为 关键 字 从 
发 送 方 的 公 钥 环 中 取出 发 送 方 的 公开 钥 。 
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(2) PGP 用 发 送 方 的 公开 钥 恢复 消息 摘要 。 
(3) 对 收 到 的 消息 重新 求 消息 摘要 ,并 与 恢复 出 的 消息 摘要 进行 比较 。 


1043 公 钥 管理 


如 何 保护 公 钥 不 被 他 人 帘 扰 是 公 钥 密码 体制 中 最 为 困难 的 问题 ,也 是 公 钥 密码 体制 
的 一 个 薄弱 环节 ,很 多 软件 复杂 性 高 都 是 由 于 解决 这 一 问题 而 引起 的 。 

PGP 由 于 可 用 于 各 种 环境 ,所 以 未 建立 严格 的 公 钥 管理 方案 ,而 是 提供 了 一 种 解决 
公 钥 管理 问题 的 结构 ,其 中 有 好 几 种 建议 选择 可 供 选 用 。 

1. 公 钥 管理 方法 

用 户 A 为 了 使 用 PGP 和 其 他 用 户 通信 ,必须 建立 一 个 公 钥 环 ,用 于 存放 其 他 用 户 的 
公开 钥 。 如 果 A 的 公 钥 环 中 有 一 个 公开 钥 表 明 是 属于 B 的 ,但 实际 上 是 属于 C 的 ,比如 
说 ,A 是 通过 B 发布 公开 钥 的 公告 牌 系统 (Bulletin Board System,BBS) 获 取 B 的 公开 钥 ， 
但 在 A 获取 之 前 ,C 就 已 将 B 的 公开 钥 给 蔡 换 了 ,就 可 能 有 以 下 两 种 危险 : 第 一 ,C 可 以 
假冒 B 对 伪造 的 消息 签名 ,再 发 给 A,A 收 到 C 发 来 的 消息 却 以 为 是 B 发 来 的 ;第 二 ,A 
发 给 B 的 任何 加 密 的 消息 都 被 C 解读 。 

所 以 ,必须 采取 措施 以 减 小 用 户 公 钥 环 中 包含 虚假 公 钥 的 危险 。 用 户 A 可 采取 以 下 
措施 以 获取 用 户 B 的 可 靠 公 开 钥 : 

(1) 物理 手段 。B 可 将 自己 的 公开 钥 存 在 一 张 软盘 中 ,亲手 交 给 A。 这 个 方法 最 为 
安全 ,但 受 实际 应 用 限制 。 

(2) 通过 电话 验证 。 如 果 A 能 在 电话 中 识别 B, 就 可 要 求 B 以 基数 64 的 格式 在 电话 
中 口述 自己 的 公开 钥 。 更 实际 的 方法 是 B 通过 电子 邮件 向 A 发 送 自己 的 公开 钥 ,A 通过 
PGP 产生 公开 钥 的 160 比特 的 摘要 ,并 以 十 六 进 制 格 式 显示 , 称 其 为 公开 钥 的 指纹 。 然 
后 A 要求 B 在 电话 中 口述 公开 钥 的 指纹 ,如 果 两 个 指纹 一 致 ,B 的 公开 钥 就 得 以 验证 。 

(3) 通过 A、B 都 信赖 的 第 三 方 , 即 介绍 人 D。D 首先 建立 一 个 证 书 , 其 中 包括 B 的 
公开 钥 、 公 开 钥 建立 的 时 间 、 公 开 钥 的 有 效 期 ,然后 用 SHA 求 出 证 书 的 数字 摘要 ,并 用 自 
己 的 秘密 钥 为 数字 摘要 签名 ,再 将 签名 链接 在 证 书后 由 B 或 D 发 给 A, 或 在 BBS 中 发 布 。 
因为 其 他 人 不 知道 D 的 秘密 钥 , 所 以 即使 能 够 伪造 B 的 公开 钥 也 无 法 伪造 D 的 签名 。 

(4) 通过 可 信和 的 证 书 发 放 机 构 ,方法 同 (3) 。 

后 两 种 措施 中 ,A 为 获取 B 的 公开 钥 , 得 首先 获取 可 信赖 的 第 三 方 或 可 信赖 的 证 书 
发 放 机 构 的 公开 钥 ,并 相信 该 公开 钥 的 有 效 性 。 所 以 最 终 还 取决 于 A 对 第 三 方 或 证 书 发 
放 机 构 的 信任 程度 。 


2 PGP 中 的 信任 关系 
PGP 中 虽然 未 对 建立 证 书 发 放 机 构 或 建立 可 信赖 机 构 做 任何 说 明 , 但 却 提供 了 一 种 
方便 的 方法 来 使 用 PGP 中 的 信任 关系 ,建立 用 户 对 公开 钥 的 信任 程度 。 
PGP 建立 信任 关系 的 基本 方法 是 用 户 在 建立 公 钥 环 时 ,以 一 个 公 钥 证 书 作 为 公 钥 环 
中 的 一 行 。 其 中 有 3 个 数据 项 用 来 表示 对 该 公 钥 证 书 的 信任 程度 ( 见 表 10-2) : 
(1) 密 钥 合法 性 字段 (key legitimacy field) : 表示 PGP 以 多 大 程度 信任 这 一 公开 钥 
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是 用 户 的 有 效 公 开 钥 ,该 字段 是 由 PGP 根据 这 一 证 书 的 签名 可 信和 字段 计算 的 。 

(2) 签名 可 信和 字段 (signature trust field) : 拥有 该 公开 钥 的 用 户 可 收集 0 个 或 多 个 为 
该 公 钥 证 书 的 签名 ,而 每 一 签名 后 面 都 有 一 签名 可 信和 字段 ,用 来 表示 该 用 户 对 签名 者 的 信 
任 程度 。 

(3) 拥有 者 可 信和 字段 (owner trust field) : 用 于 表示 用 这 一 公开 钥 签 署 其 他 公 钥 证 书 
的 可 信 程 度 , 这 一 字段 由 用 户 自己 指定 。 

以 上 3 个 字段 的 取 值 是 用 来 表示 信任 程度 的 标志 。 标 志 的 具体 含义 在 此 不 再 袭 述 。 

假定 用 户 A 已 有 一 个 公 钥 环 ,PGP 对 公 钥 环 的 信任 处 理 过 程 如 下 : 

(1) 当 A 在 公 钥 环 中 插入 一 新 的 公开 钥 时 ,PGP 必须 为 拥有 者 可 信 字 段 指 定 一 个 标 
志 。 如 果 A 插入 的 新 公开 钥 是 自己 的 , 则 也 将 被 插入 到 A 的 秘密 钥 环 ,PGP 自动 地 指定 
标志 为 ultimate trust (绝对 可 信 ) ;否则 PGP 要 求 A 为 该 字段 指定 一 个 标志 。A 指定 的 
标志 可 以 是 unknown、untrusted、marginally trusted、completely trusted 中 的 一 个 ,其 含 
义 分 别 为 不 相识 (与 该 公开 钥 的 拥有 者 ) ,不 信任 、 勉 强 信 任 、 完 全 信任 。 

(2) 当 新 公开 钥 插 入 公 钥 环 时 ,新 公 钥 可 能 已 有 一 个 或 多 个 签名 ,以 后 可 能 还 会 为 这 
一 公 钥 搜集 多 个 签名 。 当 为 该 公 钥 插入 一 新 签名 时 ,PGP 将 在 公 钥 环 中 查看 签名 产生 者 
是 否 在 已 知 的 公 钥 拥有 者 中 。 如 果 在 , 则 将 拥有 者 可 信 字 段 中 的 标志 赋值 给 签名 可 信 字 
段 ;如 果 不 在 , 则 为 签名 可 信 字 段 赋值 unknown user。 

(3) 密 钥 合法 性 字段 的 取 值 是 由 它 的 各 签名 可 信 字 段 的 取 值 计算 的 。 如 果 签 名 可 信 
字段 中 至 少 有 一 个 标志 为 ultimate, 则 将 密 钥 合 法 性 字段 的 标志 取 为 complete; 否则 ,为 
其 赋值 为 各 签名 可 信 字 段 的 加 权 和 。 其 中 ,签名 可 信 字 段 标志 值 为 always trusted 的 权 


取 为 六 标志 值 为 usually trusted 的 权 取 为 XY 分 别 是 标志 为 always trusted 和 


usually trusted 的 签名 的 个 数 。 

由 于 在 公 钥 环 中 既 可 插入 新 的 公开 钥 , 又 可 插入 新 的 签名 ,因此 为 了 保持 公 钥 环 中 的 
一 致 性 ,PGP 都 将 定期 地 对 其 从 上 到 下 进行 处 理 。 对 每 个 拥有 者 可 信和 字段 ,PGP 将 找 出 
该 拥有 者 的 所 有 签名 ,并 将 签名 可 信 字 段 的 值 修改 为 拥有 者 可 信 字 段 中 的 值 。 

图 10-15 是 一 个 信任 关系 与 密 钥 合法 性 之 间 关 系 的 示例 。 图 中 圆 节点 表示 密 钥 , 圆 
节点 旁边 的 字母 表示 密 钥 的 拥有 者 。 图 的 结构 反映 了 标记 为 “You” 的 用 户 的 公 钥 环 。 最 
顶层 的 节点 是 用 户 You 自己 的 公开 钥 , 它 自然 是 合法 的 且 拥 有 者 可 信和 字段 的 标志 为 
ultimate, 其 他 节点 的 拥有 者 可 信和 字段 的 标志 由 用 户 You 指定 ,如 果 未 指定 则 设置 为 
undefined。 例 如 ,用 户 DE、F、L 的 密 钥 (图 中 黑色 节点 表示 ) 的 拥有 者 可 信和 字段 指定 为 
always trusts, 意 指 You 信任 这 4 个 密 钥 签署 其 他 密 钥 ,而 用 户 A、B 的 密 钥 (图 中 灰色 节 
点 表示 ) 的 拥有 者 可 信 字 段 指定 为 partially trusts, 意 即 You 部 分 信任 这 两 个 密 钥 签署 其 
他 密 钥 。 

图 的 树 结构 表示 哪个 密 钥 已 经 被 其 他 用 户 所 签 。 例 如 .G 的 密 钥 被 用 户 A 签署 , 则 
用 一 个 由 G 指向 A 的 箭头 表示 。 如 果 一 个 密 钥 被 一 个 其 密 钥 不 在 公 钥 环 中 的 用 户 签署 ， 
如 R, 则 用 一 个 由 R 指向 一 个 问号 的 箭头 表示 ,问号 表示 签名 者 对 用 户 You 来 说 是 未 
知 的 。 
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10-15 ”PGP 信任 关系 示例 


该 图 可 说 明 以 下 几 个 问题 : 

(1) 所 有 被 You 信任 的 用 户 ( 包 括 完全 信任 和 部 分 信任 ) 的 公开 钥 都 被 You 签署 , 节 
点 工 除外 。 这 种 签名 并 不 总 是 有 必要 的 。 但 实际 中 大 多 数 用 户 都 愿意 为 他 们 信任 的 用 
户 的 公开 钥 签 名 。 例 如 ,E 的 公开 钥 已 被 F 签署 ,但 You 仍 直接 为 E 的 公开 钥 签 名 。 

(2) 两 个 被 部 分 信任 的 签名 可 用 于 证 明 其 他 密 钥 。 例 如 ,A 和 B 被 You 部 分 信任 ， 
则 PGP 认为 A 和 B 同 时 签署 的 H 的 公开 钥 是 合法 的 。 

(3) 由 一 个 完全 可 信 的 或 两 个 部 分 可 信 的 签名 者 签署 的 公开 钥 被 认为 是 合法 的 ,但 
这 一 公开 钥 的 拥有 者 可 能 不 被 信任 签署 其 他 公开 钥 。 例 如 ,由 于 下 是 You 完全 可 信 的 ， 
You 认为 EE 为 N 签署 的 公开 钥 是 合法 的 ,但 N 却 不 被 信任 签署 其 他 的 公开 钥 。 所 以 R 
的 公开 钥 虽 然 被 N 签名 ,但 PGP 却 不 认为 R 的 公开 钥 是 合法 的 。 这 种 情况 具有 实际 意 
义 。 例 如 ,如 果 想 向 某 一 用 户 发 送 一 个 保密 消息 , 则 不 必 在 各 方面 都 信任 这 一 用 户 ,只 要 
确信 这 一 用 户 的 公开 钥 是 正确 的 即 可 。 

(4) 图 中 S 是 一 个 孤立 节点 ,具有 两 个 未 知 的 签名 者 。 这 种 公开 钥 可 能 是 You 从 公 
钥 服务 器 中 得 到 的 。PGP 不 能 由 于 这 个 公 钥 服务 器 的 信誉 好 就 简单 地 认为 这 个 公开 钥 
是 合法 的 。 

最 后 需 指出 的 是 ,同一 公开 钥 可 能 有 多 个 用 户 ID。 这 是 因为 用 户 可 能 改过 自己 的 名 
字 ( 即 ID) 或 者 在 多 个 ID 名 下 申请 了 同一 公开 钥 的 签名 ,例如 同一 用 户 可 能 以 自己 的 多 
个 邮件 地 址 作为 自己 的 ID 名 。 所 以 ,可 将 具有 多 用 户 ID 的 同一 公开 钥 以 树 结构 组 织 起 
来 ,其 中 树 根 为 这 个 公开 钥 , 根 的 每 一 儿子 是 公开 钥 在 一 个 ID 下 所 获得 的 签名 。 对 这 个 
公开 钥 签 署 其 他 公开 钥 的 信任 程度 取决 于 这 一 公开 钥 在 不 同 ID 下 所 获得 的 各 个 签名 。 

3. 公 钥 的 吊销 

用 户 如 果 怀 疑 与 公开 钥 相 应 的 秘密 钥 已 被 泄露 ,或 者 仅 为 避免 使 用 同一 密 钥 对 的 时 
间 过 长 ,就 可 吊销 自己 当前 正 使 用 的 公开 钥 。 这 里 所 说 的 泄露 指 敌 手 从 用 户 的 秘密 钥 环 
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和 密码 短语 恢复 了 用 户 经 加 密 的 秘密 钥 。 吊 销 公 开 钥 可 通过 发 放 一 个 经 自己 签名 的 公开 
钥 吊 销 证 书 ,证书 的 格式 与 前 述 公 钥 证 书 的 格式 一 样 ,但 多 了 一 个 标识 符 , 用 来 表示 该 证 
书 的 目的 是 吊销 这 一 公开 钥 。 注 意 , 用 户 签署 公 钥 吊销 证 书 的 秘密 钥 是 与 被 吊销 的 公开 
钥 相 对 应 的 。 用 户 还 需 尽 可 能 快 `. 尽 可 能 广泛 地 散发 自己 的 公开 钥 吊 销 证 书 , 以 使 自己 的 
各 通信 对 方 都 尽 可 能 快 地 更 新 自己 的 公 钥 环 。 

敌手 如 果 得 到 用 户 的 秘密 钥 也 可 以 发 放 这 种 公 钥 吊销 证 书 ,从 而 使 敌手 自己 和 其 他 
用 户 都 不 能 继续 使 用 这 一 公开 钥 。 敌 手 以 这 种 方式 使 用 用 户 的 秘密 钥 显 然 比 以 其 他 恶意 
方式 使 用 用 户 的 秘密 钥 所 带 来 的 危险 小 得 多 。 


习 题 


1. 下 面 是 X. 509 三 向 认证 的 最 初版 本 
A—B: A{ta ,ra,B} 
B—A: B{ts ,rs,A,ra} 
A—B: A{rs} 
假定 协议 不 使 用 时 间 截 ,可 在 其 中 将 所 有 时 间 截 设置 为 0, 则 攻击 者 C 如 果 截 获 A、B 
以 前 执行 协议 时 的 消息 ,就 可 假冒 A 和 B, 以 使 ACB) 相 信 通 信 的 对 方 是 BCA)。 请 提出 
一 种 不 使 用 时 间 戳 的 、 防 中 间 人 欺骗 的 简单 方法 。 
2. 在 PGP 中 , 若 用 户 有 N 个 公开 钥 , 则 密 钥 ID 至 少 有 两 个 重复 的 概率 有 多 大 ? 
3. 在 PGP 中 , 先 对 消息 签名 再 对 签名 加 密 ,请 详细 说 明 这 一 顺序 为 什么 优 于 先 加 密 
再 对 加 密 结果 签名 。 
4. 在 PGP 的 消息 格式 中 ,消息 摘要 的 前 两 个 8 比特 位 组 以 明文 形式 传输 。 
(1) 说 明 这 种 形式 对 哈 希 函数 的 安全 性 有 多 大 程度 的 影响 。 
(2) 接收 方 用 消息 摘要 的 前 两 个 8 比特 位 组 ,确定 自己 在 验证 发 送 方 的 数字 签名 时 
是 否 正 确 地 使 用 了 发 送 方 的 公开 钥 ,其 可 信 程 度 有 多 大 ? 
5. 在 表 10-2 中 , 公 钥 环 中 的 每 一 项 都 有 一 个 拥有 者 可 信 字 段 ,用 于 表示 这 一 公 钥 的 
属 主 ( 即 拥有 这 一 公 钥 的 用 户 ) 的 可 信 程度 。 这 一 字段 能 否 充 分 表达 PGP 对 这 一 公 钥 的 
信任 ? 如 果 不 能 , 则 如 何 实 现 PGP 对 这 一 公 钥 的 信任 ? 
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